標的型攻撃の事実が示すセキュリティ対策の“本当の誤解”とは？：萩原栄幸の情報セキュリティ相談室（2/2 ページ）

[萩原栄幸，ITmedia]

「マジノ線」になる企業のセキュリティ対策

　「マジノ線」は日本人にはなじみのない名前だろう。筆者は戦闘映画が好きでこの名前を知った。「マジノ線」とは、フランスが第一次世界大戦後にドイツに対抗して築いた要塞である。

マジノ線

108の主要塞を15キロの間隔で配置、連絡通路として地下鉄を通している。要塞には火砲を戦艦に準じた構造の隠ぺい型の砲塔や射撃装置を配置、前方には対戦車用に配置された鉄骨と対歩兵用の鉄条網地帯を設けている。厚さ350センチ以上のコンクリートで防御され、発電室や武器弾薬庫は全て数十メートルの地下に建造、更に各区画は装甲鉄扉で区分された。（Wikipedia「マジノ線」より抜粋）

　しかしドイツは、マジノ線を迂回して攻撃し、フランスを降伏させたという。この事から「欧米や韓国のメディアにおいて、根拠なく破られないと信じられている、もしくは信じられていた壁のことをマジノ線に例えることがある」（同上抜粋）という。

　つまり、敵を見定めて、その敵に効果的な対策をできる限り安い費用で構築する必要があるが、敵を調査することなく全方位で臨んでしまっている今の企業セキュリティ対策では効果が薄いということだ。その結果が記事の表題である「97％の企業が標的型攻撃でマルウェアに感染している」という実態を表している。要するに、セキュリティ対策が（標的型攻撃のマルウェアについては）ほぼ全滅状態になっているという状況だ。しかし企業は、この実態を認識すらしていない。

　こうした現実下の中でどう対応すべきか。筆者が何度も提唱していることの1つが「多層防御」の考え方である。つまり、できる限り異なる発想を持った次元の異なる防御層を組み合わせ、大きな対策効果を生むようにするものだ。しかし往々にして企業で構築された多層防御は、1人もしくは特定プロジェクト下で構想され（それだけならまだ許容範囲だが）、しかも何も検証されることなく「多層防御」と名乗っているものが多い。

　例えば「ファイアウォール」「IDS（侵入検知システム）」「SIEM（セキュリティインシデント・イベント管理）」「アンチウイルス」の4つで防御層を講じたとしよう。4つすべてが“同じ発想”で講じられていた場合、攻撃者は「1つでも突破できれば、後は同じ考え方で破れる」と考える。つまり4つの防御層があっても、防御レベルとしては1層しかないのと同じであり、4つの防御層で本来達成されるべき防御レベルが低下していることを意味する

　記事でも、「『行動解析型のセキュリティ製品』や『ビッグデータ解析に基づいたセキュリティ』『人間の経験に基づいた対策』など、前述の4層とは全く異なった発想の防御も加えなければ、本当の冗長化はされていないも同じ。逆に心の隙を生みやすい危険な状態とも言える。予算を考える上では、まずきちんと機能する多層防御を作ること、そして何か起きた後の“復元力”を上げることが非常に重要」とある。

　また経営層にも警告している。

　「コンプライアンスとはあくまで法律や条例上のものだ。これは弁護士が守るもので、セキュリティとは異なるものだ。予算の使い方を間違っている経営が多い」

　この言葉は筆者も好きで、よく顧客にもお伝えしている。

---

　セキュリティ対策に終わりはない。何事もなく静かに業務が遂行できることが最大の喜びではあるが、今回解説したような実態をみると、常に警戒を怠らない努力が情報セキュリティに関わる全ての人に求められる。「2015年はスマートかつエレガントにセキュリティ対策を行いたい」という方のヒントになれば幸いである。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。

萩原栄幸