セキュリティ対策はデジタルでなく”アナログ”で考えることが大事 | 東京IT新聞

セキュリティ対策はデジタルでなく”アナログ”で考えることが大事

コンシューマー セキュリティ

日本年金機構の情報流失事件が発生して以降、筆者のもとにも多数の問い合わせをいただき、セミナーで講演する機会にも恵まれました。その際、企業のセキュリティ対策について話し合うなかで感じたのは「みなさん、きわめて“デジタル”に対策を検討している」という点でした。今回(第32回)は、セキュリティ対策をデジタルではなく“アナログ”で考えることの重要性を解説します。

従来のツール群では、不審な動きが捕捉ができない

 10年ほど前のセキュリティ対策を考えてみましょう。  パソコン(PC)端末にはウイルス対策ソフトなどを導入し、インターネットGW(ゲートウェイ=出入口)にはファイアーウォール(外部からの攻撃を守るシステム)を施し、さらに進んだ組織であればIPS(侵入防止システム)に加え、スパム対策やURLフィルタリングといったツールによるセキュリティ対策が“王道”でした。  ただ、「標的型攻撃」に代表されるように、最近の傾向ではそうしたツール群では、不審な動きが捕捉ができなかったり、正しい“アラート(警告)”が出力されずに攻撃を見過ごしてしまい、結果的にセキュリティ事案に発展するケースが多く見られます。  そのため、組織強化ということで、SOC(ソック=セキュリティー・オペレーション・センター)/CSIRT(シーサート=インシデントの対応組織)の構築や、さらに進むとAD(アクティブディレクトリ=Active Directory)やプロキシ(Proxy)、ファイルサーバといったネットワーク機器の「生ログ」を分析するための統合ログ分析システムといった先進ツールの導入検討が活発化しています。

企業から出される提案依頼書にどう答えるか

 こうしたツール群もさることながら、企業が体制を刷新して組織を構築する場合、多くのケースで「RFI(情報提供依頼書)」や「RFP(提案依頼書)」といったものが出されることになり、各セキュリティベンダがそれを受け取り、回答することになります。  仕事柄、そのRFIやRFPの項目をよく拝見しますが、少々乱暴に表現すると回答方法が「Yes」か「No」といった感じなのです。  どのベンダも案件を受注するために「満額回答ではないけれど……“Yes”」と答えるケースが多いのではないでしょうか。  たとえばウイルス対策の場合です。「ウイルス検知能力を保有すること」という条件の場合、基本的にはウイルス対策ソフトを導入できればよいため、答えは“Yes”になります。  ですが、昨今の標的型攻撃のような場合、「ウイルス対策ソフトで検知ができないような未知の不正プログラム検知や、不正プログラムとして成立する前の“コマンドライン系のツール群”も検知して対処すること」となると、Yesと言い切ることは難しくなります。  ようはセキュリティ対策はYesやNoで単純に言い切れるものでないのです。

検討条件を出す側の顧客にも知見が求められる

 たとえば、不正プログラムの検知と対処という条件で考えてみましょう。  脅威を100%防御するという観点では、ウイルス対策ソフトの導入で50~60%、それ以外は検知できない未知の不正プログラムを検知する体制や仕組みを入れて70%~80%、さらに事案発覚時はデジタルフォレンジック(記録の収集・分析)のなかで、不正プログラム解析(マルウェア解析)や対処策を検討することで100点――といった“アナログ的”な発想を行わないことには、脅威に対して対処することが難しくなってしまいます。  これはベンダ側の責任だけでなく、検討条件を出す側の顧客にも知見が求められます。

監視カメラや鍵だけでは犯罪が防げないことと同じ

 また、最近は情報漏洩事案においてインシデントレスポンス(事故対応)の相談も多くいただきますが、「インシデントレスポンスの支援ができますか?」という条件の場合、一般的なセキュリティベンダであれば、Yesと回答するケースが多いかと思います。  しかし、インシデントレスポンスの各プロセスにおける作業項目を洗い出し、さらに各実施項目の内容まで精査していくと、単純には“Yes”や“No”で回答ができるものではありません。  デジタル的にYesかNoといった単純な評価軸でなく、リスクに対する防御策をツールや運用レベル、組織レベルといった軸で検討しないと、セキュリティ事案の特定もままなりません。事案が再発するケースにも発展しかねません。  セキュリティ対策は、我々の実世界の犯罪と同様に監視カメラや鍵があれば防げるものではなく、多面的に考慮し、専門家と連携して対処するようなアプローチがきわめて重要です。相手は“その道のプロ”なのですから、守る側も犯罪者と同等の知見を有する“プロ”と“家主”の連携こそが重要と言えるでしょう。
《楢原 盛史》

特集

page top