セキュリティができる会社とできない会社に分かれる理由：ハギーのデジタル道しるべ（1/2 ページ）

2016年は「サイバーセキュリティ」が経営レベルでも語られるようになり、2017年は従来と異なる傾向が出てくるだろう。企業は今年何をしたらいいのだろうか。

[萩原栄幸，ITmedia]

情報セキュリティの最前線

　筆者は金融機関を中心に、製薬や製造など企業で情報セキュリティを主体にしたコンサルタントを生業にしている。2016年の秋以降、異常な状況が続いた。

　ある企業ではDDoS（分散型サービス妨害）攻撃が発生し、ある企業ではそこの顧客がフィッシング詐欺に遭い、ある企業では通販サイトがリスト型攻撃を受けた。いずれも防衛策が幸いし、大きな実被害は無く、極めて軽微の被害に留めることができた。ただし、最近はマルウェアがウイルス対策ソフトやサンドボックスタイプのメール防衛策を回避したり、ログ自体を改ざんしたりしようとする攻撃の痕跡が発見されている。

　ITmediaの読者には釈迦に説法かもしれないが、こうしたネットワークの防御の基本は「ファイアウォール＋IDS/IPS（不正侵入検知／防御システム）＋WAF（Webアプリケーションファイアウォール）」などの多層型であり、セキュリティ対策の基本にもつながる。さて、これらの防御の現状はどうだろうか。

　さまざまなIT企業やベンダー、SIerは、「この製品を使えば極めて堅牢な防御が可能です」「攻撃を検知したいならこの製品がベストです」などと言ってくる。確かに、その内容に誤りはない。しかし、それらは「ある一面」「局所的」という意味では正しいが、攻撃側はシステムやネットワークの至る所に存在する“別の一面”を狙うし、その一面だけに穴を空けることができれば、それで攻撃の目的を成し遂げられる。つまり、防御側には全方位での対策が求められるわけだ。これだけでも勝敗は明白だが、実はもっと現実的な“違い”がある。

サイバー攻撃者は命がけで攻撃を仕掛けてくる？

　このコラムでも時折紹介しているが、攻撃側は博士号を持つ数学者やネットワーク技術者を大量に採用し、日夜「サイトをどうやって攻撃すれば、有益な（お金になる）情報を入手できるか？」ということを真剣に考えている。新人クラスの攻撃者でも軽く年収1000万円を超えるといわれ、これに見合う「収入」が必須な訳だ。彼らの中に、サイトの脆弱性を発見して喜ぶような興味本位の人種はほとんどいない。（それが合法でも不法でも）金銭につながる一種の商行為と考えて行動している。

　さらに未確認だが、彼らの間ではお金を得られなくなった場合に、極めて酷い行為におよぶともいわれている。背後から銃を突き付けられ、しかも収入がある程度以上なければ身の安全が保障されないということだ。当然ながら、そんな状況で24時間攻撃のための作業を行っているのは、何ら不思議ではない。

　それ対して防御側はどうだろうか。平日は9時〜17時で働き、土日は休む。これを否定するつもりは全くないが、単に労働環境を比べると、攻撃側が絶対的有利になるのは仕方がない。そもそも働く土俵が違い過ぎるのだ。どうがんばっても攻撃者の方が圧倒的に有利である。しかし、だからといって諦めていてはコンサルタントの意味がない。

　サイバーセキュリティの世界は、このように守る側が圧倒的に不利な状態である。だが、それでも筆者のようなセキュリティのプロは、契約している顧客企業がさまざまなネット犯罪や内部犯罪から守れるように努めないといけない。個別具体的な対応は、それぞれの企業の環境やカルチャー、ネット環境、システム構成、組織、経営側の認識などの要素によって違うが、大よそ求められる取り組みを次のページで紹介したい。