「イケてるセキュリティコンサルは、まずセグメンテーションを行うのが普通。そのファイルはそこにある必要があるのか、この人がこのデータにアクセスできる必要はあるのか……そういう点を見直し、守備範囲を狭めるのが大事。そうすれば、アクセスログをチェックする量も減るでしょう」
辻氏はそう語り、限られたアクセス権限者を定め、彼らに物理的な制御、デバイス制御、追跡可能性、抑止効果といった対策を施すべきだと強調した。ここでいう抑止効果とは、犯罪に至る心理を防ぐ施策だ。
「犯行に至る人の多くは、データを抜き出してもバレないと思っている。それならば、デバイスが接続された時点で内線電話をかけてあげればいい。『データの管理が厳重』だという口コミも広がるでしょう。罪の意識がないことから犯行に及ぶ人もいるが、そういう人には、犯行の報いをストレートに伝えてあげればよい。利益と報いをてんびんにかけさせれば、犯行を諦める人も出てくる」(辻氏)
小さなことのように思う人もいるかも知れないが、これで犯行の一部を阻止できるとなれば、高価なソフトを買って対策をするよりは確かに安上がりではある。こうした「抑止効果もバカにならない」と辻氏は強調する。
こうした情報漏えいへの対策の一部は、標的型攻撃への対策にもなるというのが辻氏の考えだ。標的型攻撃によって“任意のコードを実行される”というのは、PCを好き勝手に使われるのと同じことだ。辻氏は両者には3つの共通点があるとした。
そのため、標的型攻撃についても対策の基本は情報漏えいと同じだ。「セキュリティ対策は複数の施策を組み合わせる必要がある。繰り返しになるが、誰がどの情報にアクセスでき、そこにファイルがある必要があるのかを確認すること。こうした“地固め”を怠ると、高い製品を買うことになってしまうのです」(辻氏)
Copyright © ITmedia, Inc. All Rights Reserved.