[専業コンサルタントのセキュリティ相談室]

入れたら終わり? “ツール頼み”のセキュリティ対策はもう止めよう

2013年11月21日(木)楢原 盛史

「従来型のセキュリティ対策は通用しなくなったという、話を聞きました。これまでと、何か違うセキュリティ対策が必要なのでしょうか」――。そんな質問を受ける機会があった。背景には、新聞やテレビを賑わせるセキュリティ事故があるのだろう。それを受けたセキュリティベンダーの売り文句も影響しているのかもしれない。

 
 

 「セキュリティを取り巻く環境は、悪化している」「従来型の対策は通用しなくなった」といったフレーズは今や珍しくなくなった。サイバー環境での事件が増加していることは事実だ。警察庁の統計データにも、数値として現れている。

 ただ、“サイバー環境のセキュリティ事情が悪化した”というより、“変化している”と捉える方が、より的確に状況をとらえているように思う。要は、私たちの社会活動における、社会的な重要性が高まるにつれ、従来、リアルな世界で起こっていた犯罪が、サイバー環境でも発生するようになったということだ。

 十数年前を思い出してほしい。今のようなクラウドやスマートデバイスも存在していなかった。一部の限られた社員に絞って、パソコンを配布している企業も珍しくなかった。しかし、そうした状況は様変わりした。今や、どこの企業でも1人1台PCを配布するのが当たり前だ。最近では、スマートデバイスを支給する企業もある。プライベートでも、人々はスマートデバイスや、タブレットを持ち歩き、コミュニケーションやショッピングに利用している。最近は、私物のデバイスをビジネスで活用しようとする企業すら登場している。

 サイバー環境が社会活動の一部を担うようになった。犯罪が、サイバー環境に登場するのも不思議なことではない。しかも、現時点では、サイバー空間での犯罪の方が費用対効果が高い。コンピュータの手を借りられるので人手に困らないし、リアルな犯罪よりも追跡が難しく、犯罪の成功率も高めやすい。社会や企業が今日的なサイバー環境に追い付いていないというのが実情だろう。

「ツール頼り」の防御は限界がある

 
 

 さて、冒頭の質問に戻ろう。こうしたサイバー環境の変化は、セキュリティ対策の見直しを迫っている。もちろん、新しいツールが必要になった、という面もある。しかし、もっと重要なのは、セキュリティ対策への考え方の転換である。端的に言えば、“ツール頼み”の対策を改める必要がある。

 誤解を恐れずに言えば、10数年前のセキュリティ対策は、ツールさえ導入していればある程度事足りた。ウイルス対策製品を導入し、セキュリティパッチを適用すれば、マルウェア感染や不正アクセスはほぼ防御できた。しかし、最近は、こうした対策をすり抜ける攻撃も登場するようになった。新しいセキュリティ製品も市場投入されているが、それとて万能ではない。“それなり”の投資をして、導入したところで、必ずしも事故を減らせるとは限らない。

 よって、万が一に備えて、対応方針も策定しておく必要がある。その1つが、「インシデントレスポンス」体制の確立だ。インシデントレスポンスとは、事故発生後、原因を突き止め、被害規模や影響範囲を特定し、事故を収拾して、再発防止策を講じるまで、一連の取り組みを指す。

 いざという時に、素早く対応できるよう、体制は実効的なものにしておく必要がある。例えば、サイバー攻撃の解析にはノウハウが要る。日々、最先端の攻撃を解析し、犯罪者の犯罪心理や、攻撃プロセスを通じた専門家が必要だろう。そうした人材が社内にいるとは限らない。自社が規定したセキュリティレベルを超える事故の場合は、外部の専門組織とチームを組むといった想定もしておく必要がある。

 また、インシデントレスポンスに至る前の運用も見直す余地がある。例えば、過去にセキュリティ事故を経験した企業は、抜本的にセキュリティ対策を見直し、サイバー攻撃を想定して、訓練も積むようにしたところもある。こうした体制まで整えている企業はそう多くはないかもしれないが、学ぶべきものは大いにあるだろう。

 こうした状況は、確かに“サイバー環境のセキュリティ事情が悪化した”と表現できる。ただし、今までが恵まれていたと考えた方が良いかもしれない。サイバー環境の重要性が今よりも低かったため、それほどセキュリティに気を使う必要がなかった。“牧歌的”な時代だったと言える。サイバー環境の重要性が増すにつれ、それがリアルの社会に近づいてきた。セキュリティ対策の負担は、サイバー環境の拡大によって、生活が便利になった代償でもある。

バックナンバー
専業コンサルタントのセキュリティ相談室一覧へ
関連キーワード

インシデントレスポンス

関連記事

トピックス

[Sponsored]

入れたら終わり? “ツール頼み”のセキュリティ対策はもう止めよう「従来型のセキュリティ対策は通用しなくなったという、話を聞きました。これまでと、何か違うセキュリティ対策が必要なのでしょうか」――。そんな質問を受ける機会があった。背景には、新聞やテレビを賑わせるセキュリティ事故があるのだろう。それを受けたセキュリティベンダーの売り文句も影響しているのかもしれない。

PAGE TOP