最新リスクに対応するため、いま企業が行うべき5つの対策
伊藤忠テクノソリューションズ(CTC)
ITビジネスアナリスト
大元隆志氏
企業ネットワークを脅かす最新のセキュリティリスクに対応するためには、このようにネットワークを多面的な角度で監視し、外部からの攻撃に対して入り口を固めるだけでなく、既に侵入を許している可能性も考慮し組織内部に目を向けることが必要だ。特別講演に登壇した伊藤忠テクノソリューションズ(CTC)のITビジネスアナリスト・大元隆志氏も、従来のようにファイアウォールなどのセキュリティ機器をただ追加していく形の対応ではなく、新たな考え方が求められていると指摘する。
大元氏は講演の冒頭、古典的な兵法書である『孫子の兵法』に記された「水は高きを避けて下に流れる。兵は実を避けて虚を撃つ」という一節を紹介した。これは、水が地形に応じて流れを変えるように敵は弱いところを狙って攻撃してくるため、守るべきところも変わってくるといった意味合いであり、企業のネットワークについてもまったく同じことが言えるという。
ファイアウォールの置かれたゲートウェイ部分に比べ内部ネットワークは脆弱であり、攻撃者のターゲットになりやすい
数年前までは、サイバー攻撃はWebサイトに集中していたが、最近ではクライアントマシンやスマートデバイスが狙われるケースが急増している。侵入検知機能などを持つ高度なセキュリティ機器が普及したことで、ゲートウェイ部分のセキュリティレベルは高くなったが、攻撃者から見た場合、これは相対的に内部ネットワークのほうが狙いやすい状態になったということでもある。セキュリティ機器の突破を試みるよりも、標的型攻撃でマルウェアを送り込む、BYODで持ち込まれるデバイスを狙う、口の軽そうな従業員にSNSで接触するなどの手法で、内側から活動を開始したほうが簡単に機密情報を取得できるからだ。
大元氏はいま企業が行うべきセキュリティ対策として、5つのポイントを挙げた。 まず「見える化の推進」。ネットワーク上でどのようなアプリケーションのトラフィックが発生しているかを調査・定量化し、場合によっては疑似攻撃などを含む外部のアセスメントサービスなども利用し、システムのどこに弱点があるかを知ることで、余分な投資を減らし効率的な対策が行える。
次に「クラウドサービスの活用」。情報は外部に漏らさずすべて社内で厳重に管理するのが安全という考え方もあるが、それではセキュリティ投資が無限に増大し破綻する。社内にとどめる情報と、クラウドに預ける情報をきちんと選別することで、適切なコストで安全を守ることができる。
3つ目は「仮想化・集約化技術の活用」。ネットワーク機器、セキュリティ機器の種類が増えるたびに運用担当者が新たな操作方法を学んでいると、新たなサービスを投入したいのにセキュリティ対応がまだなので公開できないといったように、ビジネスニーズに運用が追いつかなくなるため、「仮想化や運用自動化の技術を積極的に導入し、ネットワーク、セキュリティ機能、サービスを一元的に管理することで、ビジネスの歩みを止めずに高いセキュリティを確保できる」と大元氏。
4つ目は「罠の設置」だ。すべての脅威に対応するのが難しいのであれば、攻撃に対してわざと脆弱性に見せかけたイレギュラー反応を返し、攻撃が成功したと思い込ませつつ、攻撃手法などを記録しその後のセキュリティ対策に役立てるという考え方も有効だ。
アプライアンスが次々追加されたことで複雑になったネットワーク。仮想化技術を導入して機器を集約することでコストを抑え、変化のスピードにも対応しやすくできる
そして最後に「従業員教育」だ。いくら機械的な工夫でセキュリティを高めても、ソーシャルエンジニアリングで内部情報に接触されることには無力だ。また、従業員が顧客に関する情報をソーシャルメディアに投稿する悪ふざけが店舗の閉鎖、廃業につながるといった事件も発生しており、このようなリスクも見逃せなくなっている。コンプライアンスやモラルに反する行為、セキュリティ意識の不足がどんな事態を招くかを啓蒙し、罰則の通達も含めた教育を定期的に行うなど、地道な対策が求められる--。こう締めくくった大元氏の言葉で、本セミナーは閉幕した。
