2018年2月9日
2018年2月9日
2018年2月9日(金)
「安心」ではなく「安全」で考えよう
NSSLCサービス(株)
エキスパート 橋本 悠亮
まず、情報セキュリティに限らず、一般的な社会においても、すべての人が「安心」となる対策は存在しません。どこまでやれば安心かは皆さん一人ひとり基準が違いますし、一旦安心に傾いてしまうと、それを脅かす事象に遭遇した時には、どこまでやっても不安に感じることでしょう。また、一般的に安心するための材料は、対策の質や数などではなく、問題が起こっていない期間の長さに比例しがちです。しかし本来は、「問題が起こっていない期間が長い」=「安心できる」と短絡に結び付けることはできません。それらはブランドや信頼を傷つけないために公表されていないだけかもしれませんし、そもそも問題とすら認識されていないだけかもしれません。情報セキュリティにおいても、安心することだけを求めることは、あまり意味がないことを覚えておいていただければと思います。
さて、それでは情報セキュリティにおいてはどのように考えていけばよいのでしょうか。それは「安全」となる対策を実施していくことです。安全は安心と違い、感情の話ではありません。そして安全を担う一つひとつの安全対策には「何からの脅威か」と「どの程度守るか」という前提があります。
例えば、諺に「木は森に隠せ」というものがありますが、これは森にある全ての木を調べる手間や手段がないからこそ有効とされる安全対策です。情報セキュリティにおいては効率的な「検索」や「照合」という手段があるので、この対策にはあまり期待しないほうがよいでしょう。そのため有効策としては「暗号化」や「アクセス制御」となってきます。しかし、これらの対策も先ほど述べた前提が存在します。暗号化を例にすると、暗号データが破られるかどうかは、強い暗号化方式(アルゴリズム)の選択と元のデータに戻す鍵(復号鍵)が露呈しない運用がセットで重要になってきます。どんなに強いアルゴリズムを選択しても、「123456」とつけたパスワードで復号鍵が露呈してしまうような場合は、あまり意味がありません。皆さんの中には「日付」や「会社名」をパスワードにして、ZIP暗号ファイルをメールに添付している人も多いのではないでしょうか。それで特に問題となっていないとしても、それはただ安心しているだけにすぎないかもしれません。
情報セキュリティにおける対策が本当に安全に寄与しているかどうかは、その安全対策の前提を守れる運用ができることです。そして対策の多くは人の運用に任されている事も多く、その判断を間違ったり実施を怠ったりすると、簡単に綻びができてしまいます。そうならないためにも、情報を発信する側は、どういう前提を想定していてその対策を実施しているのかを、しっかりと伝えていく責任があるでしょう。これを読んでいる皆さんにおいては、対策の前提をしっかりとご自身で理解し、目標とする安全に寄与できる対策を実施していただきたいと思います。
最後に、インフルエンザが流行っている時期です。予防接種やマスクの着用で安心してしまうのではなく、ウイルスを体内で増やさないように、安全に元気に過ごしていきましょう。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
2018年2月9日(金)
小さなことからコツコツと
NTTテクノクロス株式会社 主任エンジニア
日本セキュリティオペレーション事業者協議会 セキュリティオペレーション連携WG(WG6)リーダー 武井 滋紀
今日のコラムを執筆させて頂きます武井です。
NTTテクノクロス株式会社(※1)、クラウド&セキュリティ事業部所属。NTTグループ セキュリティプリンシパルでもあります。
会社の外では日本セキュリティオペレーション事業者協議会(以下、ISOG-J)のセキュリティオペレーション連携WG(WG6)のリーダーを務めさせていただいています。
さて、今回のコラムではこれから企業でセキュリティの対応や運用に携わることになりそうな方、あるいは既に関わり始めた方に向けたお話をしたいと思います。
日本においてエンジニアはベンダーに72%存在し、ユーザー企業にはあまり居ない、ということがわかっています(※2)。
これまで、セキュリティ製品の導入や監視や運用はベンダー企業やマネージドセキュリティサービス(以下、MSS)に任せて、報告だけ受けてきたというのが実情ではないでしょうか(参考:2010年公開「マネージドセキュリティサービス(MSS)選定ガイド ver1.0」※3)。
しかしながら状況は大きく変わりました。「セキュリティは経営課題」、「セキュリティはコストではなく投資」と言われることが多くなり、ユーザー企業側でもやらなければならないことが増えました。エンジニアが少ないところで任命され、専門家でもないのにと感じてしまっているのではないでしょうか。
ユーザー企業側でCSIRTやSOCといったセキュリティ対応の組織を作ろうとすると、構築のために公開されているドキュメントは全てを網羅するためにやるべきことが多く、実際きちんとした形になるまではかなりの時間がかかります。時間がかかることの理解を得られていないことも問題を難しくしています。
よくCSIRTは消防団に例えられます。これは有事の際に対応するだけではなく、何もない普段は訓練や見回りなどをすることを意味しています。
まずは普段の見回りや訓練から始めて、外部に任せられないビジネス上の判断をできるようになるなど、徐々にできることを増やします。専門的でできないことは外部のサービスで補います。
実は前述の「MSS選定ガイド ver1.0」は8年経った今でも継続的にダウンロードされています。それだけ困っている人が多いと理解しつつ、8年前とは状況も変化しているので、ver2.0を皆様にお届けできないかとこれから議論を始めようかとしています。
やるべき全体像を見たうえで、できることを小さなことからコツコツと。
ISOG-Jでもお手伝いできるよう、セキュリティオペレーションに関する諸問題や課題に取り組み成果を公開します。
- ※1 NTTテクノクロス株式会社は、NTTソフトウェア株式会社とNTTアイティ株式会社が2017年4月1日に合併してできました。
- ※2 IPA, 「IT人材白書2017」, P75, 図表2-2-3より
- ※3 http://isog-j.org/activities/result.html 成果一覧の下から2つ目
- セキュリティの対応の全体像はISOG-Jで「セキュリティ対応組織(SOC,CSIRT)の教科書」として公開しています。
http://isog-j.org/output/2017/Textbook_soc-csirt_v2.html
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。