さて、サイバーセキュリティにおけるテクノロジーとビジネスの両面で共通して持っておくべき視点があります。それは、「防御」と「攻撃」です。この双方の視点からのアプローチを取り入れることはとても有効性が高いといえます。
まずは、テクノロジー面から考えてみましょう。
読者の皆さんはご存じかもしれませんが、サイバーセキュリティは、防御側が圧倒的に不利な状況から始まります。守るべき部分が100カ所ならその全てを防御する必要がありますが、攻撃側は防御の脇が多少甘い1カ所を突破するだけで攻撃を成立させることができます。また、防御側は法律や就業規則など、さまざまなコンプライアンスの範囲内で対策していく必要がありますが、攻撃者側はそもそもそんなことを気にしません。公然と違法な手段で攻撃を行うことができます。
このような状況で効率良く、また、精度の高い防御を実現するには、「攻撃手法」の視点を学ぶ必要があります。その理由は、攻撃側の行為に対して守る側が「適切である」と判断した防御策がすっかりミスマッチになってしまっているために被害も発生しているからです。非常に残念ながら、いまだにネットワークセキュリティでどうにかなると考え、「ファイアウォールを入れていれば攻撃を防御できる」とか、「ウイルス対策ソフトをインストールしているから安全」と言った声を聞きます。まったく、いつの時代の話でしょうか……。
攻撃は、ネットワークが許可をしている範囲で行われます。ウイルス対策ソフトが攻撃の段階で検出できるマルウェアは、多くはありません。また、クラウド上のシステムがこれほど多くなると、物理的な境界線で防御するという概念は適用しにくいことでしょう。この話は、また追々していきましょう。
「攻撃に対する防御のミスマッチ」は、攻撃視点の知識不足が原因です。適切な防御策の選定は、「相手がどういった攻撃を仕掛けてくるのか?」「その攻撃はどのように行われるのか?」を理解してはじめて可能になります。攻撃内容と対策内容のミスマッチによる初歩的な失策も起きにくくなり、ようやく自社のセキュリティ対策レベルを向上させることができるからです。
概してサイバーセキュリティにおける事故は目に見えにくく、体感にしくいという特徴があります。セキュリティ技術を習得していくには、実際に目で見て影響を感じる経験が一番です。少なくとも、何が起きているのかを手元で再現するための検証環境の構築が有効でしょう。検証環境があれば、経営層を含むITプロフェッショナルではない人に対して事象を解説する際に、どういった事が起こるのかを実際に目で見てもらうことができます。
また、その解説には技術的な用語や文脈を伴うことも多く、ITプロフェッショナルではない人に対する解説が難しく感じることがあります。ここで、実際に事象を確認できる環境を活用しながら解説すると、こうした人たちのサイバーセキュリティに対する理解を得やすくなります。検証環境があれば、新しいサイバー攻撃が発生した際にもすぐに検証して対策を講じ、その有効性を確認できるでしょう。防御策の有効性を確かめる場合にも、手元で試せる検証環境があれば、それはいくらか容易になります。
それに、システム導入したタイミングでは十分なセキュリティ対策強度を施したと思っていても、新たな脅威、新たな攻撃に対しては有効でなかったことが分かる場合があります。セキュリティ技術は移り変わりの激しい分野であるため、検証環境を身近に用意して、常に試せるようにすることはテクノロジー面の学習において不可欠でしょう。
Copyright © ITmedia, Inc. All Rights Reserved.