第25回 中小企業が取り組める現実的なセキュリティ対策とは？：日本型セキュリティの現実と理想（3/4 ページ）

[武田一城，ITmedia]

中小企業はどうやって対策をするべきか？

　「中小企業のセキュリティ対策はいったどうしたらよいのか？」という疑問が読者の皆さんの中に浮かんでくるだろう。残念ながら筆者は、これに対して明確な答えは持っていない。以前の記事でも述べたように、少なくとも以前のようなファイアウォールやアンチウイルスソフトなどでセキュリティ対策が機能した時代は終わったとは言うことができる。

　それら以上に高度なセキュリティ対策製品を導入しても、もはやより高い防御壁を実現できるものではなくなっている。セキュリティ製品は、攻撃をシャットアウトするものではなく、攻撃を可視化し、ネットワークやシステム内部を監視・制御などをする“人によるマネジメント“が前提になっているのだ。

　しかも、これをマネジメントする”人“は一般の人ではなく、一定以上のITプラットフォームと攻撃手法などに関する知識を有したセキュリティ人材でないといけない。そのセキュリティ人材が、高度なセキュリティ対策製品から発せられる不審なアラートに対応しなければならない。そのアラートを見て、なぜ発生しているか、それが自社にとってどの程度の脅威か、そして大きな脅威なら影響範囲や自分で対応できるものか、専門家に依頼する必要があるものかを（ものによっては瞬時に）判断できなければならないのだ。

　このような人材は、よほどの奇跡的な偶然が重ならない限り、一般的な業態の企業では中小企業はもちろん大企業にもほとんどいない。このような人材のほとんどは、高度な対策を売りにしているようなセキュリティベンダーに所属している。しかも、ベンダーの間で近年は希少なセキュリティ人材を高待遇でヘッドハンティングし合っている状況だ。通信キャリアやグローバル企業のように大規模攻撃を受ける機会が多いケース以外で、セキュリティ人材を一定数確保するのは難しい。つまり、セキュリティ人材は育成するか、高待遇で雇うかの二択しかないが、よほど潤沢な財務状況ではない限り中小企業にとってはどちらの選択肢も難しい。このような状況で会社の重要な情報が守られていることを担保するセキュリティ人材を配置することは非常に根が深い問題なのだ。

　セキュリティ対策をし続けても、対策側の防御を無効化しようと日々進化する攻撃側との“いたちごっこ”の攻防には終わりはなく、これに絶対的な対策もない。しかし、中小企業になす術がないかというと、そうではない。

　まず大事なのは、セキュリティの基本の部分に立ち返ることであり、その基本とは「何を守りたいか？」ということだ。何を守りたいかが確定すれば、「どうやって守るか？」が決まってくる。そうすると、その対策は「本当に機能しているのか？」というセキュリティマネジメントのサイクルが回るようになるのだ。