企業のセキュリティ対策概論（1/5 ページ）

セキュリティの確保は、現状、そして将来の脅威を認識している優秀な人材がいてはじめて実現できる。たとえ優れたツールを導入しても、その効果を引き出す術を知っていないとあまり役には立たないことを企業は忘れてはならない。

[Mayank-Sharma，Open Tech Press]

　企業とそのデジタル資産のセキュリティを確保するのは容易ではない。ネットワーク社会における多くの脅威から組織を保護してくれる“万能型”のソリューションは存在しないからだ。実際、企業のデジタル資産は絶えず変化しているため、ある時点でうまく機能していたセキュリティソリューションが次の週にはまるで役に立たなくなっている可能性すらある。従って、市販のファイアウォールを設置してセキュリティ対策を行ったつもりでいるなら、その考えを改める必要があるだろう。

　適切なセキュリティ対策の実施には、相当な配慮と用心深さが要求される。セキュリティソフトをインストールして設定したら放りっぱなし、というわけにはいかない。セキュリティの専門家にいわせれば、企業が攻撃を受けやすいのは自社のデジタル資産を正しく理解できていないからだという。

　Open Web Application Security Project（OWASP）のセキュリティコンサルタント兼チーフエヴァンジェリスト、デニス・クルス氏は次のように語る。「今日、われわれは多額の金を“セキュリティ”関連の分野に注ぎ込んでいる。だが、ほとんどの場合、その企業の実際のセキュリティレベルには何の効果も及ぼしていない（マイナスの効果を与えていることさえある）。ソフトウェアに関する問題を、さらに多くのソフトウェアで解決しようとしてばかりいるのだ」

　SecurityDistroのエディタであるジョゼ・スウィニー氏は、リスクはさまざまなところから生じるが、組織のセキュリティに対する最大のリスクは人間の側にある、と考えている。「最高のファイアウォール機器、IPD、アプリケーションファイアウォールをそろえても、こうした製品すべてについて徹底的にトレーニングを受けた者がいなければ、役には立たない」

　組織が直面する脅威には内的脅威と外的脅威の2種類がある、と話すのはInternational Institute for Training, Assessment, and Certification（IITAC）の常務、トルステン・シュナイダー博士だ。マルウェア、スパム、ネットワークへの侵入といった外的脅威については十分に理解され、こうした試みはたびたび撃退されている。だが、組織は内的脅威に対する意識の欠如によって被害を受けている。内的脅威の代表的な例が、自作ソフトウェアを許可なくインストールすることで非常に高度なセキュリティシステムを回避したり、送信者不明のメールや添付ファイルを不用意に開けたりする社員だ。

　シュナイダー氏によると、攻撃者はこうした無知につけ込んで危害を及ぼすのだという。大半の企業は、攻撃者の標的になるのがセキュリティ対策ソフトでもファイアウォールでもウイルス防止ソフトでもないことを理解できていない、と彼は話す。ほとんどの場合、攻撃対象になるのは一般のソフトウェアそのもので、（内的なものも外的なものも含めて）よく知られたセキュリティ上の弱点が攻撃に利用される。

　企業が自社の保有するデジタル資産（ソフトウェア）を理解していないことも問題だが、ユーザーの個人情報データなど、組織で管理しているデジタル資産（データ）に対する脅威を理解していないと問題はさらに大きくなる、とクルス氏は語る。「抜け目のない（そして利益を優先する）攻撃者なら、スパムの大量送信や外部アプリケーションのインストールによって医療機関のネットワークに障害を発生させるようなウイルス（またはスパイウェア）を書いたりはしない。（むしろ）その病院の財務経営システムを乗っ取ってひともうけしようとするだろう」