2017年2月15日（水）

経営者にとってセキュリティって難しいですか？

 S&J株式会社
 代表取締役社長　三輪　信雄

　セキュリティの仕事をしています、と言うと、たいていの場合「セキュリティってすごく難しいですよね」と言われます。テレビや映画の影響で、「セキュリティ→ハッカー」というイメージになり、普通のIT以上に難しい何かのように思われているのだと思います。確かに、特別な技術の分野ではありますが、一方で、考え方さえわかれば、ある程度の理解はできるようになります。
 
　セキュリティエンジニアを仕事とするには、技術的な範囲がとても広く、しかもとても深いので、かなり高い技術力が求められます。一方で、経営者とセキュリティについて会話をするためには、むしろ技術的な用語は極力避けながら話す能力が求められます。経営者は、イメージでとらえて直感的に理解しようとします。技術用語の羅列では会話にならないですが、分かりやすい表現で伝えると、すぐに腹落ちしてもらえます。
 
　経営者は、セキュリティ戦略について理解する必要はありますが、細かなセキュリティ戦術については理解する必要はありません。つまり、経営者が理解できる概念的なセキュリティ戦略は、難しいものであってはならないのです。
 
　例えば、私は経営者と会話するときには、例えば、セキュリティを考慮したネットワーク構成の種類は以下のように説明します。
 

1. 　ウイルスが8割除去されて残りの2割が入ってきて、そのウイルスが内部情報を外に送り出したら、その半分くらいは見つけられるシステム。
2.  　ウイルスは外部に情報を送り出すために、多くの場合ホームページを見る仕組みを利用する。従って、直接ホームページを見れないようにして、代わりに、もう1台のパソコンを設置して、その画面だけを通してホームページを見るので、感染しても外に情報が送り出されることは、ほとんどなくなるシステム。
3.  　重要情報を取り扱うＡ部とＢ部門は、インターネットから分離して、ホームページとメールは画面転送で利用するので、ウイルスによる情報漏洩の可能性は極めて低くなるシステム。

 
　この説明を振る舞い検知とかエンドポイントとか、入口出口対策とか、CSIRTだとかSOCなどの用語を使うと経営者には伝わりません。
 
　経営者は、自社のセキュリティの強度をほとんど知っていません。IT責任者から、「セキュリティ対策として○○をやっています」と報告を受けているので、「対策している＝大丈夫」と思い込んでいるのです。
　経営者は、ITセキュリティ責任者に以下のような質問をしてみるといいでしょう。
 

• 　重要なシステムから、ホームページやメールが直接利用できるようになっていないか？

　→ホームページやメールが直接利用できる状態で、情報漏えいを防ぐには、十分な防御システムと監視システム、そして、優秀なセキュリティ専門技術者が必要ですが、容易なことではありません。
 

• 　ウイルスに感染して、外部に情報を送り出したことを「高い確率で」知ることはできるのか？

　→最新の装置などで外部への通信を見つける可能性はありますが、確率は高くありません。パソコンの動作情報や出入口の詳細なログ情報があり、かつ、高速に検索、相関分析できる高度なシステムと専門人材が必要です。
 

• 　ウイルスによって外部に送り出された情報が何か、を知ることができるのか？

　→暗号化されていたり、送信後に削除されたりして、送り出された情報が何かを正確に知ることは困難です。「フォレンジックすればわかります」というのは正しくないでしょう。
 
　これらの質問に的確に答えられ、自社のセキュリティ強度と課題、対策計画について経営者に説明できるセキュリティ責任者であればいいのですが、横文字や専門用語で長い説明をするようであれば、自社のセキュリティ対策について疑ってみて、経営者と会話のできる外部専門家の助言を得たほうがいいでしょう。
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。