ビジネスにおける情報資産の価値は高まるばかりだ。一方で、情報システムに対する攻撃の複雑性は増しており、守る側の対策も複雑化せざるをえない現状がある。さらに、モバイルデバイスの普及が進む中で、対策の難易度も増している。さまざまな課題を解決するために現場の負荷も増大する中、企業としては今後どのような対策をとっていけばよいのか。
“水際作戦”だけでは不十分
侵入を前提とする対策が必要
情報セキュリティへの脅威は高まるばかりだ。数年前に防衛関連企業がサイバー攻撃を受けたと報じられ、多くの日本企業に衝撃を与えたことは記憶に新しい。最近では、マイクロソフト「Internet Explorer」において、未解決の脆弱性が存在するとのニュースがあった。
「ITシステムの脆弱性を見つける人たちはファインダーと呼ばれます。かつて、最新の脆弱性情報を持っているのはファインダーでしたが、いまでは攻撃側がより多くの情報を持つようになっています。攻撃側は新しい脆弱性を発見し、そこを狙ってアタックを仕掛けます。これがゼロデイ攻撃。準備ができていない部分を攻撃されるので、たやすく突破されてしまいます」とデルの古川勝也氏は、現状の脅威を説明する。
デルが発表した「ネットワークセキュリティ脅威レポート2013」でも、ゼロデイ攻撃や標的型攻撃に警鐘を鳴らしている。標的型攻撃とは特定のターゲットを狙って仕掛けられる攻撃で、経済的な利益が主たる目的とされる。
変化しているのは攻撃手法だけではない。ビジネス環境そのものが、いま大きく変わりつつある。スマートデバイスはビジネスの現場に普及しつつあり、そのセキュリティ対策は大きな課題だ。加えて、エンドユーザーである消費者の端末も視野にとらえる必要がある。
「例えば、企業のWebサイトやECサイトなどに脆弱性がある場合、そこを訪れたエンドユーザーの端末が感染する可能性があります。クレジットカード決済をはじめ、さまざまなネットサービスを提供する企業にとって、自社に何らかの原因があってエンドユーザーに迷惑をかけるような事態は絶対に避けなければなりません」
セキュリティを取り巻く環境の変化を受けて、企業はその対策の高度化を求められている。古川氏が示すキーワードは多層防御だ。
「いまや、企業ネットワークの境界で守る“水際作戦”だけでは不十分です。境界の内部に侵入されることもありうるという前提で、対策を考えなければなりません。企業システムだけでなく、ネットワークや端末を含めたすべてのエリアを対象に多層的な防御の仕組みをつくる必要があります」
多層防御を実現するために、大企業の多くは複数のセキュリティ製品を導入している。単一製品だけでは足りないとの判断だ。複数の“関所”があれば、A製品をすり抜けた不正プログラムがB製品でブロックされることもある。AとBがスルーした場合でも、C製品が捕捉できる可能性もある。
こうして、セキュリティ対策は複雑化の方向に進む。古川氏は「攻撃が複雑化している以上、対策も複雑化せざるをえません」という。結果として、セキュリティ対策コストはかさみ、現場の技術者への負荷は増大する。経営者やCIOの悩みは大きい。このような現状に対して企業はどのように対策を進めればよいのだろうか。
この記事の続きは以下からPDFを
ダウンロードしてお読みいただけます。
