ダイヤモンド社のビジネス情報サイト
情報セキュリティの方程式

私が経営者に説明する
「情報セキュリティの方程式」とは

小山 覚 [NTTコミュニケーションズ セキュリティ・エバンジェリスト]
【第1回】 2015年2月13日
著者・コラム紹介バックナンバー
previous page
4

 実は、古いタイプのセキュリティ対策装置では新しい攻撃は見つからないか、検知はしているものの攻撃の峻別を正確にできない場合があるためであり、正確な現状を認識するには、日常の運用の中で自らの監視能力を問う姿勢が重要である。

 具体的にはセキュリティ対策装置で脅威を検知すると、ハイ・ミディアム・ローなど3~4段階でリスクレベルを表現する。しかし攻撃者側はこの仕組みを熟知しているから始末が悪い。彼らは運用担当者が大騒ぎを始める「ハイレベル」に至らぬ「ミディアムレベル」の攻撃を組み合わせて、企業のLANに侵入しようと試みる。つまりハイレベルの攻撃が減って平和になったのではなく、そのような攻撃を見破る危機管理能力が低下していると考えるべきである。

 このような体感治安の変化を感じて適切に対応するためには、日常のセキュリティ対策の運用の中で、LANへの侵入を検知する都度、ユーザの元へ駆け寄り、不正侵入された被疑パソコンを隔離し、フォレンジック(証拠保全)など地道な対策を行う努力が不可欠である。つまり(2)オペレーション (攻撃の分析・対策の実施)が一番大事であるとお伝えしたい。日々の運用の中で自社のセキュティ対策が適切か否かを感じる肌感覚がないまま、次の対策に進むことは、経営者にとって大きなリスクと言わざるを得ない。

 確かに、インシデントやヒヤリハットが発生した時に、緊急避難的にUSBメモリの使用を禁止するなど(3)利便性を小さくするような措置を行うことは、再発防止策として即効性がある。しかし、その対策のみに頼り続けることはお勧めできない。

 業務プロセスに影響する何かを禁止する場合は、当該業務が継続可能な代替策を準備する必要があるが、往々にして現場任せになっており、そのことが経営者への不信感や社員の思考停止を招き、職場のモラル低下に繋がりかねないからである。負担を強いる現場のケアを怠ると、社員の思考停止を招きモラルが低下し、周辺環境の変化や制度疲労によるリスクの発生を防ぐことが難しくなるので要注意である。

 問うべきは、「情報セキュリティの方程式」のバランスである。

previous page
4
IT&ビジネス
クチコミ・コメント

facebookもチェック

小山 覚
[NTTコミュニケーションズ セキュリティ・エバンジェリスト]

こやま・さとる/NTTコミュニケーションズ 経営企画部 MSS推進室 担当部長。1988年、日本電信電話株式会社に入社、大阪府や兵庫県で電柱やケーブルの工事・保守業務を経験。1997年「OCN」の立ち上げに参加しセキュリティサービス開発に従事。その後CodeRedワームの脅威に直面しマルウェア対策を決意。2002年、本来業務の傍らTelecom-ISAC Japanなど、各団体の活動に参加。2006年、セキュリティ対策の国家プロジェクト「サイバークリーンセンタ」の運営委員を5年間務める。2013年7月から現職、総務省研究会の構成員として、サイバー攻撃対策と「通信の秘密の侵害」との関係整理に取り組む。

情報セキュリティの方程式

業務の効率化を使命とする情報システム部門に、セキュリティマネジメントを任せるのはやや無理がある。LAN内に侵入し情報を盗み出す標的型攻撃が増加する昨今、経営者はセキュリティ対策に対する認識を変えていく必要がある。インターネットの黎明期から情報セキュリティの現場を経験してきたエキスパートが、テクノロジー論やコストパフォーマンスの観点だけでない、情報セキュリティの日々の運用の重要性を解説する。

「情報セキュリティの方程式」

⇒バックナンバー一覧