企業の内外に潜む情報流出の脅威 再考が求められる対策：ITmedia エンタープライズ セミナー レポート（2/3 ページ）

[國谷武史，ITmedia]

行き詰まる「被害に遭わない」対策

三輪信雄氏

　特別講演に登壇したS&Jコンサルティング 代表取締役社長の三輪信雄氏は、外部脅威の観点から従来のセキュリティ対策が抱える問題を取り上げた。「被害に遭わない」対策の理想と現実に、あまりにも隔たりがあるというのが同氏の見解だ。

　外部脅威の動向に目を向けると、システムの脆弱性を突いた不正アクセス攻撃によって、企業内から重要情報が盗み出される事件が今なお後を絶たない。また、最近では「Gumblar型攻撃」のようにWebサイトの改ざんなどによって顧客がマルウェアに感染し、ログイン情報やクレジットカード場などを直接盗み取られてしまう被害が常態化している。

　三輪氏は、日本企業のセキュリティ対策は「被害に遭わない」「防ぐ」という考え方が先に立ち、「それでも被害に遭ったら……」と考えるのは不謹慎とされる文化的特徴があると指摘する。対策の導入を検討する上で、「被害に遭わない」「防ぐ」という理由の方が経営層の理解を得やすいためだ。このような文化的背景をもとに、従来は新たな脅威が出現する度に新しい対策を導入することが繰り返されてきた。

　例えば、システムのOSやアプリケーションのセキュリティパッチをこまめに当てるという対策がある。しかし、近年は「ゼロデイ攻撃」と呼ばれる未知の脆弱性を狙った攻撃が横行し、パッチがベンダーから提供されるまでユーザーは実質的な対応がとれない。そもそも脆弱性を作り込まないようにするというセキュアな開発も推奨されてはいるが、限られた予算の中でそれを意識している企業は少ないという。

　Webシステムを狙う攻撃の増加から、Webアプリケーションファイアウォール（WAF）の利用が注目されたこともある。だがWAFは、基本的に高度なノウハウを持つ技術者が常にチューニングを続けなければ効果を維持できないという対策だと三輪氏は語る。

　対策には必ずメリットとデメリットがあり、その両面を正しく理解した上で運用しなければ、同じことを繰り返すだけになってしまう。「対策を真剣に取り組めば取り組むほど、現実の脅威を防ぐことがいかに難しいかが分かるだろう」（三輪氏）

　結果的に、多くの企業が堅牢な防御システムを構築するようになった。ある程度対策が進むと、今度は「本当に防いでいるのか」「攻撃状況を知りたい」と意識するようになり、導入している対策の実際の効果に着目するようになる。三輪氏は、「この視点に至る企業がようやく現れ始めた」と語る。

　「完全なセキュリティ対策は存在しない」と言われることが多い。三輪氏はこの言葉の意味を理解し、「被害に遭わない」「防ぐ」という考え方から脱却して、「それでも被害に遭ったら……」という視点で、防ぐことができない攻撃や被害に備える方法が重要だと提起する。脅威を迅速に発見し、できるだけ早く対応できる体制を構築しておく。被害を抑止する、もしくは小さくするために、平時から訓練を実施し、実際に問題が起きて適切な行動がとれる準備をしておくべきであるという。