セキュリティができる会社とできない会社に分かれる理由:ハギーのデジタル道しるべ(1/2 ページ)
2016年は「サイバーセキュリティ」が経営レベルでも語られるようになり、2017年は従来と異なる傾向が出てくるだろう。企業は今年何をしたらいいのだろうか。
情報セキュリティの最前線
筆者は金融機関を中心に、製薬や製造など企業で情報セキュリティを主体にしたコンサルタントを生業にしている。2016年の秋以降、異常な状況が続いた。
ある企業ではDDoS(分散型サービス妨害)攻撃が発生し、ある企業ではそこの顧客がフィッシング詐欺に遭い、ある企業では通販サイトがリスト型攻撃を受けた。いずれも防衛策が幸いし、大きな実被害は無く、極めて軽微の被害に留めることができた。ただし、最近はマルウェアがウイルス対策ソフトやサンドボックスタイプのメール防衛策を回避したり、ログ自体を改ざんしたりしようとする攻撃の痕跡が発見されている。
ITmediaの読者には釈迦に説法かもしれないが、こうしたネットワークの防御の基本は「ファイアウォール+IDS/IPS(不正侵入検知/防御システム)+WAF(Webアプリケーションファイアウォール)」などの多層型であり、セキュリティ対策の基本にもつながる。さて、これらの防御の現状はどうだろうか。
さまざまなIT企業やベンダー、SIerは、「この製品を使えば極めて堅牢な防御が可能です」「攻撃を検知したいならこの製品がベストです」などと言ってくる。確かに、その内容に誤りはない。しかし、それらは「ある一面」「局所的」という意味では正しいが、攻撃側はシステムやネットワークの至る所に存在する“別の一面”を狙うし、その一面だけに穴を空けることができれば、それで攻撃の目的を成し遂げられる。つまり、防御側には全方位での対策が求められるわけだ。これだけでも勝敗は明白だが、実はもっと現実的な“違い”がある。
このコラムでも時折紹介しているが、攻撃側は博士号を持つ数学者やネットワーク技術者を大量に採用し、日夜「サイトをどうやって攻撃すれば、有益な(お金になる)情報を入手できるか?」ということを真剣に考えている。新人クラスの攻撃者でも軽く年収1000万円を超えるといわれ、これに見合う「収入」が必須な訳だ。彼らの中に、サイトの脆弱性を発見して喜ぶような興味本位の人種はほとんどいない。(それが合法でも不法でも)金銭につながる一種の商行為と考えて行動している。
さらに未確認だが、彼らの間ではお金を得られなくなった場合に、極めて酷い行為におよぶともいわれている。背後から銃を突き付けられ、しかも収入がある程度以上なければ身の安全が保障されないということだ。当然ながら、そんな状況で24時間攻撃のための作業を行っているのは、何ら不思議ではない。
それ対して防御側はどうだろうか。平日は9時〜17時で働き、土日は休む。これを否定するつもりは全くないが、単に労働環境を比べると、攻撃側が絶対的有利になるのは仕方がない。そもそも働く土俵が違い過ぎるのだ。どうがんばっても攻撃者の方が圧倒的に有利である。しかし、だからといって諦めていてはコンサルタントの意味がない。
サイバーセキュリティの世界は、このように守る側が圧倒的に不利な状態である。だが、それでも筆者のようなセキュリティのプロは、契約している顧客企業がさまざまなネット犯罪や内部犯罪から守れるように努めないといけない。個別具体的な対応は、それぞれの企業の環境やカルチャー、ネット環境、システム構成、組織、経営側の認識などの要素によって違うが、大よそ求められる取り組みを次のページで紹介したい。
関連記事
- サイバー攻撃に遭わない会社は価値がない? セキュリティを真剣に考えてほしい理由
セキュリティの必要性が叫ばれているものの、残念ながら「真剣」に取り組む企業はそれほど多くはない。現場で感じる“見えない”危険の状況から、セキュリティが必要な理由を改めて伝えたい。 - ランサムウェアにマイナンバー、2016年の情報セキュリティ総括・前編
2016年も情報セキュリティの世界ではさまざまな出来事があり、目まぐるしい変化が続いた。2016年の動向を振り返りながら、セキュリティにつながるポイントを挙げてみたい。 - 情報セキュリティの基本も揺るがした問題――2016年の総括・後編
2016年の情報セキュリティを振り返りたいが、それ以前に「情報セキュリティ」の「情報」そのものが脅かされる状況だ。この出来事に筆者なりの考えを述べたい。 - 疲弊する情報セキュリティの現場と「無知な」社長の心の内
「セキュリティは大切だ」と言いながら、実際に強化している企業や団体はほとんどない。疲弊する現場に対して、あまりに残念すぎる経営者の感覚とは――。
Copyright © ITmedia, Inc. All Rights Reserved.