セキュリティ対策を導入したのに、サイバー攻撃の被害が後を絶たないワケ（3/3 ページ）

[高橋睦美，ITmedia]

対策の導入は単なる手段、「有効に機能しているか」の見極めを

　これまで企業のセキュリティ対策は、標的型攻撃に代表される、巧妙化の一途をたどるサイバー攻撃からの防御を図るため、複数の対策を積み重ねた「多層防御」の観点で進められてきました。最近では、それでもすり抜けは発生するという視点に立ち、検知や対応を支援する技術も登場しています。

　こうした多層防御の有効性を否定するわけではありませんが、さまざまな対策を積み重ねてきた結果、今や1社あたり30〜50種類ものセキュリティ機器を導入し、運用しなければならない状況に陥っています。

　岩間氏は「企業では『いかに完全な防御を実行できるか』という観点でセキュリティ対策の有効性を考えてきたはずが、いつのまにか、技術導入が目的になっていないだろうか」と指摘。投資したセキュリティ対策が有効に機能し、思惑通りの効果を出しているかどうかを見極める必要があると主張します。

　これはセキュリティ担当者レベルだけでなく、事業継続の観点からセキュリティを経営課題と捉える経営層にとっても重要なポイントです。

　最後に岩間氏は、企業がセキュリティ対策の有効性を改善するためのポイントとして、PDCAサイクルを回すことを挙げました。

　このサイクルでは、まず初めに、導入したセキュリティ機器の設定やアラートの制御が想定通りにできているか、現状を理解します。次に、その状況を米研究団体が策定した「MITRE ATT&CK」のようなフレームワークと照らし合わせ、理想に近づけていきます。

　さらに、実際に攻撃に耐えられるかどうかを、同業種が受けている攻撃手法や戦術、手順を参考にして検証。「自社が同じ攻撃にさらされた時に検知できるのか」「検知できたとして、適切にエスカレーションし、対応できるか」を確認し、攻撃を受けた時の指針（プレイブック）を作成します。

　岩間氏は、こうした手順を通じて、セキュリティ対策を定期的に見直し、無駄な部分や重複を排除するとともに、環境変化に対応できるよう継続的に取り組むことが重要だと強調しました。