第3回 「進撃の巨人」で理解する多層防御：日本型セキュリティの現実と理想（1/3 ページ）

標的型攻撃で必要性が叫ばれる「多層防御」。しかし、日本ではあまり浸透しない。その理由を「進撃の巨人」の世界から探ってみたい。

[武田一城，ITmedia]

連載「日本型セキュリティの現実と理想」バックナンバー

第1回：セキュリティインシデントが繰り返される理由

第2回：戦国ファンならわかる？　城郭の変遷とセキュリティ環境

　2011年に大きく報道された日本の防衛産業を狙う標的型攻撃。自衛隊の兵器を製造している非常に重要な防衛機密の情報が流出してしまうという、非常に大きなインパクトを与える事件だった。しかも、この情報漏えいを起こした企業のセキュリティ対策は決してレベルの低いものではなく、むしろ非常に高いレベルの対策を施していた。この事件により、ほとんどの企業が行っている従来の防御では防ぎきれない高度なサイバー攻撃がすでに世の中にまん延していることが明らかになった。かなり高いレベルのセキュリティ対策をしていた企業でもしつこく狙われて、ハッカーに情報を盗まれてしまったのだ。

境界防御の崩壊と進まない本質的なセキュリティ対策

侵入を水際で防ぐ方法は限界？（写真はイメージ）

　これにより、従来のような「境界線から中に一歩も入れない」という理想主義のセキュリティ対策は崩壊してしまった。この時点で従来型の「境界防御」だけでは、一定以上の技術を持つハッカーに太刀打ちできないことが判明した。セキュリティ対策は壁の内側に入られてしまっても、重要な情報を守る「多層防御」の構造に変わるはずだった。

　しかし、日本のセキュリティ市場も、守るべき機密情報や大量の個人情報を持つ絶対に対策すべき企業であっても、そのようには全く変わらなかった。すでに2015年であり、大きく報道されてから4年ほど経過しているこの間にも数え切れないほどの情報漏えいといったセキュリティインシデントが発生した。情報処理推進機構（IPA）などが何度も注意喚起や啓蒙活動をしているが、多層防御構造の構築とそれをきちんと管理するセキュリティマネジメントの仕組みは、なかなか一般化していない。

事件のたびに繰り返される表面的な対策

　日本のセキュリティ市場の構造は簡単だ。企業や組織から情報漏えいなどが公表され、その後、大きく報道された事件の漏えい経路のみを止められる製品が売れる。それ以外は、これまで導入している製品の保守が切れるタイミングで入れ替えられるだけだ。従来の対策と全く変わらない状況が続いている。

　なぜこういう状況が続くのか。それは、セキュリティ担当者に必要な予算や人的リソースが与えられていないにも関わらず、経営者や上司は「○○事件のケースには対策済みか？」とだけ問う。その結果、担当者は予算も人的リソースもかからないセキュリティ製品ベンダーの言う表面的な対策のみで済まし続けているからだ。

膝を擦りむいた時、絆創膏を貼れば自然と治るだろう。だが、大怪我に大きな絆創膏を貼っても患部が隠れるだけで、気休め程度にしか効果はない。むしろ、隠すことによる弊害の方が大きい。本質的な問題に眼をつぶり、安定のバイアスをかけて、「自分にだけは事件や事故が降りかからない」と思っているだけだ。