「セキュリティ投資、どこまでやればいいの?」と悩んでいませんか
~終わりの見えないセキュリティ投資に悩む前にできること~

アイキャッチ

企業を取り巻くサイバー脅威は多様化し、増加の一途をたどっている。最近話題になったものだけを挙げても、標的型攻撃にはじまり、DDoS攻撃やランサムウェアといった脅威が次々と報じられ、枚挙にいとまがないほどだ。こうした最新の脅威への対処と同時に、内部犯行をはじめとする古典的な手口への備えも怠るわけにはいかない……ということで、次から次へとさまざまな「セキュリティソリューション」が市場にはあふれている。

だが、新たな脅威が指摘されるたびに、やれサンドボックスだ、SIEMだ、標的型攻撃対策訓練だと、新たな対策が後追いで追加提案される現状にうんざりしている担当者は少なくないのではないだろうか。

そもそも多くの企業は、既に何らかのセキュリティ対策を導入済みだろう。企業ネットワークを保護するファイアウォールや不正侵入防止システム(IPS)、エンドポイントを保護するウイルス対策ソフトなど、何らかの形で多層防御に取り組んでいるはずだ。新たな脅威が喧伝されるたびにまた追加投資が必要になるのか、いったいどこまで対策をすれば十分と言えるのか、モヤモヤした思いを抱いていないだろうか?

セキュリティは初めからシステムに組み込むことが重要

そもそも、なぜ次から次へと新しいセキュリティソリューションを導入せざるを得ない状況に陥っているのだろうか?

確かに脅威の進化、巧妙化は大きな理由だ。シグネチャに基づいて脅威を検出するタイプに代表される従来型の対策だけでは、最新の脅威の検知・防御が困難なことは、新たな「常識」になりつつある。

だがもう一つ、根本的な理由がある。システムに初めから、つまり企画・設計時からセキュリティが組み入れられていないことだ。必要な機能要件やコスト、スケジュールばかりに目がいってしまい、セキュリティについて深く考慮しないままカットオーバーしてしまうと、後付けで、防御偏重のセキュリティに頼らざるを得ない。

しかし、脅威が巧妙化した昨今、すべての攻撃を100%防御することは不可能となりつつある。侵入は起こり得るという前提に立ち、いざという時に被害を最小限に抑え、迅速に復旧する仕組みが求められているにもかかわらず、防御ばかりに頼っていては、バランスの取れた対策とは言えない。

中には、業務の妨げとなるような無理なセキュリティルールを定め、「運用でカバー」しようと考えるケースがあるかもしれない。だが、それが大きなリスクになることは、基幹システムと情報システムとの間でUSBメモリ経由で情報をやり取りし、標的型攻撃を受けた結果大量の個人情報流出につながった日本年金機構の例からも明らかだ。

セキュリティ対策

システム設計や設定の見直しでもできることはある、ガチガチに固める必要はない

逆に言えば、システムの企画や設計、構築の段階からセキュリティを考慮し、組み入れておけば、無理なくしかも安全な運用が可能になるはずだ。

「初めからセキュリティを考慮」などというと、ガチガチに防御を固められたシステムを想像するかもしれないが、そんなに厳格なことは必要ない。むしろ、新たなアプライアンス機器に多額の投資をする前に、設定変更などで実施できることばかりだ。

Pocket

コメント