第40回 なぜ日本で理想的なセキュリティ対策が実現しないのか?:日本型セキュリティの現実と理想(2/5 ページ)
この連載を1年8カ月にわたってお届けしてきた。最終回は、主題である「日本型セキュリティの現実と理想」について言及しながら、日本のセキュリティ対策が理想的なものにならない理由と理想的なものにしていくための方向性を筆者なりに示してみたい。
セキュリティ対策の「本当の理想」とは?
この本質は、サイバー攻撃の被害者やセキュリティ対策に従事する人々にとって、非常に悲しい現実だ。人間の欲が攻撃などの脅威をもたらすという前提をまず理解し、「脅威のない世界」などと都合のいいセキュリティ対策の理想が存在しない現実を受け入れる必要がある。
それでも手間とコストをかけて、何らかの具体的なセキュリティ対策を実施するのだから、一定のゴールを定めざるを得ない。実際の落としどころという意味なら、そのゴールがセキュリティ対策の「本当の理想」と言うことになるだろう。筆者はそのゴールを「攻撃者の動向を理解した上で的確に対応し、攻撃者が最終的な目的を達成する前に、防御側が確実に止めること」だと考える。
しかし、現実的な落としどころとしての「本当の理想」ですら、なかなかうまくいかない。仮に、セキュリティ対策が的確に実施され、「本当の理想」が実現されたとしても、さらに悲しい別の現実が存在する。それは、「攻撃されたことでセキュリティ担当者が非難される」という状況が散見される現実だ。
現在のサイバー攻撃は、昔のようにファイアウォールなどの対策で組織内部のシステムやネットワークへ一歩も入れさせない「境界防御」による思想が通用せず、外部からの侵入をゼロにすることは不可能だ。その状況で仮に一部の侵入を許しても、被害を最小限に抑えられたなら充分な成果であり、その成果を得るために尽力したセキュリティ担当者は称賛されてよいはずである。
だが、先に述べた前提も現実も受け入れず、あり得ないセキュリティの理想を抱き続ける人は、「多くの対策コストをかけたのに100%防げなかった」とみなし、減点材料にしてしまうことがある。経営者や管理者がセキュリティ対策への理解に乏しい場合には、「対策にコストを費やしたのだから、何も起きなくて当然」と考え、セキュリティ担当者を非難してしまうのだ。
つまり、現在の状況はセキュリティ担当者が目指す「本当の理想」からも程遠いものにならざるを得ない。さらに、「本当の理想」を実現して被害をゼロにしたとしても、それらの状況を理解しない第三者からすると、それは平常であったということに過ぎない。このように、どちらに転んだとしても、どこまでもセキュリティ担当者は報われない存在なのだ。
関連記事
- 第39回 サイバー攻撃で変革を迫られた日本のIT業界事情
サイバー攻撃の巧妙化によって、従来のコンピュータメーカーや通信キャリア、SIerなどの情報システムベンダーではセキュリティ対策が難しくなってしまった。IT業界はセキュリティ人材やセキュリティ企業そのものを取り込む構造変革を進めているが、この業界の生き残り戦略とは何だろうか。 - 第13回 個人情報偏重の日本の漏えい対策、“機密”視点で考えるには?
前回はドラマでも人気の「下町ロケット」を題材に、日本の一般企業で機密情報の厳密な管理は行われていないことやその理由を考察してみた。今回は企業が機密情報の定義や管理をどうすべきかについて述べていく。 - 第3回 「進撃の巨人」で理解する多層防御
標的型攻撃で必要性が叫ばれる「多層防御」。しかし、日本ではあまり浸透しない。その理由を「進撃の巨人」の世界から探ってみたい。 - 【新連載】セキュリティインシデントが繰り返される理由
セキュリティ対策をしているにもかかわらず、標的型攻撃による情報漏えいなどのインシデントが後を絶たないのはなぜか――。業界通の筆者が、その理由を歴史からひも解く渾身の新連載。
Copyright © ITmedia, Inc. All Rights Reserved.