クラウドや、ネットワーク、ビッグデータの動向を取り上げてきた。だが、これらの活用の広がりに欠かせないのがセキュリティである。安全で信頼できる仕組みを実現するためには、セキュリティの脅威を理解し、それに対する適切な対処が必要になる。しかし、攻撃側の手口は巧妙になる一方だ。セキュリティの最新動向に触れてみたい。
セキュリティ対策としては、計画から、構築・運用、監視、改善までのPDCA(Plan-Do-Check-Action)サイクルを持ったセキュリティシステムを構築する必要がある。計画段階で基本方針や基準、ルール、実施計画を策定し、構築・運用でポリシーの実現に向けた基準・ルールの適用や対策システムの構築、教育を実施する。運用段階では、状況のモニタリングと実施状況を確認し、モニタリングや監視の結果や環境の変化を改善につなげていく。
脅威の把握やリスクの正しい査定が前提に
図1:セキュリティ脅威・対策への理解がリスクを軽減する拡大画像表示
そのためには、脅威や対策の動向を正しく理解することと、リスクを検討した上での判断が重要になる(図1)。脅威の把握やリスクを正しく査定できないと、必要以上に厳しいセキュリティ対策を採ったり、使い勝手や自由度を制限して仕事を複雑にし生産性を低下させたりしてしまう。その代表例がノートPCの持ち出し禁止である。
ブロードバンドの広がりにより、オフィス以外からも、情報に簡単にアクセスでき、情報共有やコミュニケーションが図れる環境が整ってきた。これを適切に使うことによって、オフィスに戻らないと仕事ができないという状況や、情報共有のために他の人に問い合わせなければ前に進めないといった状況から解放され、情報の迅速性や、時間の効率化、生産性の向上が図れるのだ。
にもかかわらず、セキュリティ対策と称してノートPCの持ち出しを禁止しては本末転倒だ。ノートPCを社外環境からも安全に利用できるように、各種の対策と併せて、それらに付随するルールの策定、教育によるルール順守の徹底を図れば、リスクは低減し、生産性を犠牲にすることもない。
具体的なツールになるのが、認証や、通信の暗号化、VPN(Virtual Private Network:仮装施設網)やSSL(Secure Socket Layer)といったネットワークセキュリティ、紛失や盗難に対するPCの保護、データの暗号化、バックアップ、パスワードの自動入力禁止などである。
同様のことが、情報の保護やセキュリティ対策ソフトの適用についても言える。セキュリティ対策を検討する際には、セキュリティの脅威に対する対策だけでなく、その対策がビジネス自身、業務の効率、生産性に与えるマイナス面まで考慮したマネジメントの判断が重要なのだ。
そうした判断を下すためには、自社のセキュリティレベルを理解することと、対策を検討する上でのセキュリティの脅威や対策の動向を知っておかなければならない。
セキュリティ対策全体をカバーするソリューションが増加
日本ネットワークセキュリティ協会がまとめた『2013年度セキュリティ市場調査報告書』によると、セキュリティ関連ツールとセキュリティ関連サービスを含めた2013年の市場規模は7661億円。2012年に比べて4.8%増えている。
平均以上に増えている分野は、暗号化製品(前年比6.9%増)、セキュリティ情報統合管理やポリシー・アクティビティ管理ツール、脆弱性検査ツールなどのシステムセキュリティ管理製品(同6.8%増)、ウィルス対策やスパム対策、URLフィルター、メールフィルタ、DLP(Data Leak Prevention:情報漏えい対策)などのコンテンツセキュリティ対策製品(同5.4%増)、セキュリティ運用・管理サービス(同5.4%増)、統合型アプライアンス(同5.1%増)である。
ここから分かるのは、ファイヤウォールやIDS(Intrusion Detection System:侵入検知システム)、VPNのようなインフラレベルだけでなく、アプリケーションやコンテンツレベルの対策や、モバイルデバイスへの対策が進み、それらのセキュリティ対策全体をカバーするためのセキュリティ統合管理ツールやセキュリティ運用・管理サービスの需要が伸びているという動向だ。
すなわち、セキュリティの脅威が複雑化し、かつ攻撃対象エリアが拡大していることから、総合的な対策が必要とされているわけだ。この傾向は、本連載で取り上げてきたクラウド化、モバイル化、ビッグデータ活用、IoT(Internet of Things:モノのインターネット)の広がりによって、ますます加速する。
もう1つの動向が、標的型攻撃の増加だ。修正パッチが未公開の脆弱性を悪用するゼロデイ攻撃と、APT(Advanced Persistent Threat)攻撃の増加だ。いずれも、既知の攻撃に対するパターンマッチングやシグネチャに基づいて検出する従来の方法では防ぐことが難しい。防げずに攻撃を受けてしまうと、その攻撃自体に気付かず継続するケースも多い。攻撃側も個人レベルから組織レベルへ、愉快犯から経済犯へと変化している。
攻撃内容が情報の窃盗になると、企業が受ける被害も大きくなる。2014年5月19日、米国司法省と米連邦捜査局は(FBI)は、米国の大手企業が標的にされ、技術情報や設計情報など重要な機密情報が盗み出されたことを発表している。
サイバー攻撃はすでに日常茶飯事
2013年に『APT1:Exposing One of China’s Cyber Espionage Uinits』を発表した旧Mandiant(現FireEye)のレポート『高度なサイバー攻撃の動向』では、ゼロデイ攻撃やAPT攻撃といったサイバー攻撃が日常茶飯事になっていると報告されている。
本連載『CIOのための「IT未来予測」~将来を見据え、目前のITを評価せよ~』が、IT Leadersの電子書籍『IT Leaders選書』になりました。お手元でじっくりとお読みいただけます。こちらから、どうぞ、お買い求めください。
- 広がるAIの応用分野と、それが示す現時点での限界(2017/04/17)
- 米GEのIndustrial Internetの成果と進化(2017/03/20)
- IoTとAIが変えるUI(ユーザーインタフェース)(2017/02/20)
- IoTの実現に向け広がるフォグコンピューティングの価値(2017/01/16)
- デジタルトランスフォーメーション(DX)の重要テクノロジーとしてのIoT(2016/12/19)
