データの棚卸しができていれば、それぞれのデータの価値が決まり、その価値に対して何%であれば費用対効果を考慮したセキュリティ対策が取れるといった試算が可能になるわけです。でも実際にはそのように綺麗にはいかないので、難しいですね。
そしてもうひとつ、欠けてる観点が、インシデントが起こってから収束するまでの、ライフサイクルのようなイメージがなさ過ぎる点です。インシデントが発生したら大変というイメージが強くて、「起こらないようにしよう」と防御の話はする。でも、それだけ。防御で100%抑えることができないことも理解しているのに、です。
防御で抑えられなかったときにどうするのか、その後の体制が取れていない。防御してもすり抜けてくるのが大前提で、すり抜けたものを捉える仕組みも必要ですし、捉えたものをつぶす仕組みも必要です。さらにその後、通常の状態まで回復しなければなりません。そこまで考えて仕組みを作って初めて完了するわけです。
そういう考え方があれば、先ほどのようなSOCというハコだけ作っても意味がないことがわかります。もちろん、バランスも必要です。手前の(攻撃があったかどうかを感知する)“センサ”部分が弱かったら議論が先に進みませんし、回復するには体力が必要になります。そういったすべてのバランスを考えていかないと、ライフサイクルを完結できないわけです。でも、そこまでできている企業や組織などはなかなかないですね。
トレンドマイクロ 上級セキュリティエバンジェリスト 染谷征良氏 海外、日本のITセキュリティ業界で、競合分析、製品・技術戦略からインシデント対応など幅広い領域で15年以上の経験を有する。セキュリティ問題、セキュリティ技術の啓発に当たる
染谷氏 ライフサイクルで言えば、万一被害が発生した後のことも重要です。回復という話がありましたが、それ以外にも「今後に向けてどう改善できるのか」「評価すべきポイントは何なのか」といったこともつぶしていかなければなりません。
単純にサンドボックスを入れて終わり、CSIRT/SOCを構えたから終わりではないと言っている理由は、まさにそこなんですね。国境でのセキュリティにたとえれば、一昔前は入国や出国の審査はX線だけでよかったのですが、今は靴を脱げとかペットボトルを持ち込むなと言われます。犯罪者の攻撃の手法が変わったから。
もうひとつ、たとえば米国や英国の空港には、かなりごつい国境警察隊がうろうろしています。あれは、いかにテロの予兆を早期につぶしていくかという動きです。攻撃の手法をはじめ多くのものが変化しているので、継続してそれに順応していかなければなりません。それはサイバーセキュリティでも全く同じなんです。それを、いかに継続して運用していくかという考え方がすごく大事です。
(4)に続く。
