2018年3月14日
2018年3月14日
2018年3月14日(水)
あなたの守りたい「モノ」は何ですか?どうやって守りますか?
日本電気株式会社 第二金融ソリューション事業部 コンサルティング部
(兼) 金融システム開発本部 金融デジタルイノベーション技術開発室
(兼) サイバーセキュリティ戦略本部 セキュリティ技術センター
一般社団法人 日本クラウドセキュリティアライアンス
クラウドセキュリティ WG リーダー 釜山 公徳
日々、
「セキュリティ施策をどうすればいいか」
「どういったリスクがあるか」
「コスト削減はどうすれば良いか」
等のご相談をいただいております。
まず、セキュリティ施策を考えるにあって念頭に置いていただきたい点といたしまして、守りたい「モノ」は何か?です。
それは資産ですか?信頼ですか?お客様ですか?
セキュリティ施策において、セキュリティテクノロジーがブラックボックスで特異な分野とも言えることから、腹落ちしていないにも関わらず、「世間が騒いでいるから何となく導入・運用する」
といったことをよく伺います。
このような状況で迷走し、本質を見失って、自分自身が守りたい「モノ」を見失う。。。
これが、情報盗難(所謂、情報漏洩)に繋がるのです。
「既存のアンチマルウェアに加え、新たなセキュリティ施策を検討しているが、コストが。。。」
こんな話をよく伺いますが、コストという考え方は本当に正しいでしょうか。
確かに経理上はコストかもしれませんが、コストと考えるのは本質的では無く、「投資」が正しいのではないでしょうか。
セキュリティ施策は生産性がない、効果を可視化出来ない、できる限り削減したいと思っている方は少なくないでしょう。
少し視点を変えて、例えばコンビニエンスストアで立ち並ぶパンやおにぎり、お惣菜などの食品工場における衛生管理。
これらの食品は食中毒にかからないように、雑菌が入らないようにクリーンな場所作られる様は、ICT ではプログラムに脆弱性を作らないためのセキュアコーディングによく似ています。
この他、ラッピングはアンチマルウェア、食中毒が起こる際の検査は端末フォレンジックスと言ったところでしょうか。
ここで考えるべき点としては、衛生的な食品を世に出すに当たっての施策は、食品への付加価値であると言える点で、故に「投資」という言葉がしっくりくるかと存じます。
セキュリティはコストではなく、「投資」です。
上述の考えをベースにセキュリティ施策について考えます。
1. 守りたい「モノ」が何か
基幹システム、ドメインコントローラー、顧客情報が入ったデータベース、機密情報が格納されたファイルサーバ等、環境によって様々でしょう。
リスクマネジメントの観点が非常に重要で、対象システムが陥落した場合の影響や、情報が抜き取られた際の影響等を考え対策を打ち出します。
これは当たり前のようで、多くの方々が正しく実施出来ていないのが現状ではないでしょうか。
2. どうやって守るか
入口対策、出口対策、内部対策としてネットワーク全体での多層防御、ホストにおけるアンチマルウェア、IDS/IPS、WAF によるホスト上での多層防御、こんな具合で対策区分別機能でブレイクダウンし、機能要件と非機能要件でそれぞれセキュリティ製品やOS が有するセキュリティ機能を当て込みます。
アプリケーションの開発であれば、セキュアコーディングですね。
ここで重要なのは、よりセキュアにするためには定性的かつ定量的な評価に基づく選定が必要でありながら、セキュリティの特性上難しいので、自身の環境に即した現実解を探ることです。
この解は、事前に守りたい「モノ」が何であるかを定義していれば、自ずと施策は見えてきます。
3. どのように守っていくか
まず前提としてセキュリティに100%はありませんし、脅威は日々進化します。
このことから、ソフトウェアベンダであれば製品の脆弱性対応、自社の環境であればセキュリティインシデント対応が発生するに至ります。
そのため、迅速なセキュリティ運用をどうしていくかが求められます。
守りたい「モノ」を守る体制と万が一守れなかった場合の対応方法を構築するのです。
4. 本当に守れているか
日々のアラートチェックや不審な通信の有無のチェックは勿論のことながら、施策のフィジビリティをチェックします。
フィジビリティはローンチ当初は問題なくとも、脅威が日々進化していることから時が経つに連れてズレが生じ、見直すタイミングが訪れます。
そのため、定期的な見直しが必要で、今まさに DevSecOps / SecDevOps と言った方法が求められております。
昨今、様々なセキュリティインシデントのニュースで世間を騒がせており、誰もが被害者になって守りたい「モノ」が守れなくなってしまう可能性があることは否めません。
しかしながら、上述のような「守りのサイクル」の実現により、その可能性を限りなく0 に近づけることは出来るのではないでしょうか。
サイバー空間において、世界中の方々が安心安全でいられる時代が訪れるよう、切に願っております。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。