コラム
» 2010年08月11日 17時40分 UPDATE

オルタナティブ・ブロガーの視点:攻撃的セキュリティ対策が「企業戦略」の重要な要素になっていく時代(5W1H活用方法)

McAfeeが攻撃的なセキュリティ対策の重要性を提起しました。この考えは企業においてどのように活用できるのでしょうか。オルタナティブ・ブロガー、新倉茂彦氏のエントリーを紹介します。

[新倉茂彦,ITmedia]

(このコンテンツはオルタナティブ・ブログの「新倉茂彦の情報セキュリティAtoZ」の転載です。エントリーはこちら。)

 なぜに攻撃的セキュリティ対策なのか――受け身だけでセキュリティを考えると、そこにはダメージの回避しかありません。とてもネガティブな思考になっていきます。攻撃で考える対策は、そもそもの視点が違うので受け身視点で見えなかった弱点や意外なものが見えてくるものです。能動的ポジティブな攻撃視点は、今後の「企業戦略」を左右していくことでしょう。(引用記事はこちら

 米セキュリティ企業のMcAfeeは、同社の研究部門のMcAfee Labsがとりまとめたセキュリティ動向の年次報告書「McAfee Security Journal 2010」を公開した。サイバー犯罪が高度化し、セキュリティ戦略を積極的に構築することが必要だと指摘している。

 今年初めに発生した企業の知的財産を狙うサイバー攻撃や、7月に発生したWindowsの脆弱性を悪用してインフラ管理システムや制御システムの不正操作を狙う攻撃などを受け、報告書ではサイバー犯罪者に対して積極的な姿勢をとる「攻撃的なセキュリティ」の必要性を強調している。

 従来のセキュリティ対策は、セキュリティベンダーやユーザーが「受け身」の体勢であったが、今後は法執行機関などを含めた第三者との連携を強化することで、サイバー攻撃を完全に防ぐ体制が求められるという。


 「情報システム部門」が「情報戦略部門」になるための5つの視点でも書きましたが、企業の情報系はどうもシステムだけに偏りがちで技術志向です。本来システムも技術も使うことに意味があるもので、それに使われてしまっている現実があります。

 わたしの感じている、「情報システム部門」が「情報戦略部門」に変われないポイントは5つあります。

  1. 「情報システム」は技術志向が強いので、技術だけでどうにかしようと偏ってしまい
  2. マネジメントの方々も「情報システム」は技術志向で、よく分からないから任せっきりにしてしまい
  3. 「情報戦略」は推進したいが、「技術と戦略」がセットなので、組み合わせの落としどころが見えなく
  4. 決裁権を持つ方はシステムに疎いので、その判断基準に明確なモノがなく
  5. 「情報システム部門」は明確な基準を持っているが、決裁権がなく振り回されている。

 これが現実ではないでしょうか? 負のスパイラルのようです。


 とブログに書きました。……と言ってもねぇ。って感じでしょうか。

 何よりも、攻撃と防御の視点が大きく違うことを改めて知る必要があります。分かっているつもり……なことほど、分かってないことが多くあるのです。そんなこと、言われなくても、分かってる情報セキュリティ標語より

 当たり前のような話ですが、知らないことは分からない。意識したことしか認識できないことが大前提にあるのです。これらは単にシステムや技術思考だけでは無理なことです。それぞれに役割があるので、応じた部分を分けなければなりません。何事も万能はないのですから……。

 攻撃側と防御側で考えれば、圧倒的に攻撃側のが有利になります。簡単な話ですが、防御されていない弱点を探して突くだけだからです。防御側の視点は、内側から外側に対して壁を作っていくアプローチになるので、内側は完璧に作り上げられたように見える壁でも、外側から見るともろい場合もあるのです。

 例えばサーバなどの機器は、今後の拡張性として成長することができる「スケーラビリティ」を考慮して考えるものです。広義なセキュリティにおいて、攻撃視点をどれほど意識しているでしょうか?

 視点を変えることが何よりも重要です。これはリスクマネジメントでもあります。どちらも「企業の情報戦略」に必要な要素になります。

 サイバー犯罪とサイバー教育について啓蒙する:セキュリティの専門家は、政府と連携し、サイバー犯罪に対する知識がその被害者になる危険を回避することに役立つものと教えるべきである。例えば、実際にサイバー犯罪と戦う人間にマルウェアの技法に関する最新情報を提供したり、多くの人に危険な振る舞いを特定するのに役立つツールを提供したり、また、犯罪を報告する適切な窓口をユーザーに知らせるなど、教育により認識を高める必要がある


 結局、知ること。知識を知恵に変えられる応用力、意識して認識を高めること――などなど。上記引用のようなことをするのは、専門家に任せれば良いことですが、専門家よりも実際に利用するユーザーの数が圧倒的に多いことを考えれば、利用者の職務別な「知る必要があること」を教育啓発することが必要です。

 マネジメント側の管理する職務の方々は、5W1Hを使い「攻撃な手法や視点を持つこと」でマネジメントすべき部分が明確になってきます。

01.What なにを。対象。操作対象。

02.When いつ。時間。タイミング。

03.Where どこで。場所。舞台。

04.Who だれが。人物。行動主体。

05.Why なぜ。なんのために。目的。理由。

06.How どのように。いかにして。手段。実現方法。

 と、どこが弱く、なにを見れば良いのかと、マネジメント思考で管理する能力が必要になります。

 一方、管理される側である職務の方々も同じ5W1Hで考えるのですが、視点は大きく変わり、「それらが自分に降りかかってくるリスク、行動基準」のアプローチで利用します。抑止牽制でもありますが、企業防衛のためにも、従業員を守るために教えるという企業責任でもあります。極端な話、インターネットでメールを使ったことがあることと、インターネット上の危険を知っているのとは訳が違うのです。道を知っていることと実際に歩くことの違いです。

 何を考えるにも基本として利用できるものです。同じ5W1Hでも視点の置き方で見え方、感じ方は変わってきます。中心に何を持ってくるかです。

 応用範囲は広いので、使ってみてはいかがでしょうか?

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ