事故前提型の対策も視野に、経営問題としてのセキュリティに取り組もう
~「サイバー攻撃は100%防げない」を前提としたこれからの対策のあり方とは?~

160613アイキャッチ

さまざまな企業や組織を狙った標的型攻撃や内部犯行による情報漏えい、あるいは最近話題のランサムウェアなど、サイバーセキュリティに関するインシデント(事故)は後を絶たない。ひとたびインシデントが発生すれば、状況によってはいったんWebサイト運営などを停止し、原因調査や復旧に多くのリソースを費やすことになる。万一顧客情報漏えいなどの実害につながれば、顧客へのお詫びや関連企業、監督省庁への説明など、対応に要する労力はさらに増すことだろう。

このように、ひとたび事故が発生した際の影響の大きさを目の当たりにすると、「何とかしてサイバー攻撃を防げないものか」と考えるのも無理はない。だが「防ぐ」ことばかりに専念していては、根本的な対策にはならないことが明らかになりつつある。

実際に標的型攻撃や不正アクセスのターゲットとなった組織が公開した情報を読んでみれば分かるが、その多くは無策ではなかった。セキュリティポリシーを定め、企業ネットワークや各端末をマルウェア感染から防ぐための対策ソフトウェアやアプライアンスを導入するなど、一昔前ならば平均程度のセキュリティ対策を実施していた。

にもかかわらず、なぜこうした事故が発生してしまっているのだろうか? 理由の一つは環境の変化だ。企業におけるITの活用シーンは広がり、モバイルデバイスやクラウドの活用も当たり前。情報がさまざまなところに分散しており、一昔前ならば及第点と言えた対策では守りきれなくなっている。

しかも、サイバー攻撃は常に巧妙化し続けている。攻撃者は、金銭や情報を盗み取るという明確な目的を持って侵入を試みる。もしわれわれが何らかの対策を講じると、ソーシャルエンジニアリングや未知のマルウェアといった新たな手法を編み出し、防御をかいくぐろうと試みる。このいたちごっこが続いているのだ。

これからのセキュリティに求められる事故前提型の対策

従ってこれからのセキュリティは、「攻撃を100%防ぐことは困難だ」という現実を認めるところから始まる。防げるものは防ぐに越したことはないが、それでも侵入は起こり得るものと考え、情報流出など最悪の事態に陥る前に被害を最小限に留めるべく対応する姿勢が求められる。

こうした「事故前提型の対策」の重要性は、経済産業省が2015年12月に示した「サイバーセキュリティ経営ガイドライン」(http://www.meti.go.jp/press/2015/12/20151228002/20151228002-2.pdf)でも明示されている。

このガイドラインでは、「経営者のリーダーシップ」「系列企業やサプライチェーンも含めた対策」に加え、「平時ならびに緊急時の関係者との適切なコミュニケーション」という三つの原則に沿ってセキュリティ対策に取り組むよう求めている。つまり、平時はもちろん、いざという事態が発生することを想定し、その際に誰とどのように連絡をとり、対処に当たるかを考えておくべきというわけだ。

ただしこれは、防御をあきらめるという意味ではない。むしろ、多層的な防御を通じて不正なファイルやマルウェアの侵入を可能な限り食い止めることで、対処すべき問題を絞り込むことができ、少ない労力で被害を最小化できるだろう。

リスクマネジメント3

Pocket

コメント