編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方
企業セキュリティの歩き方

「運用でカバー」という魔法の言葉--“存在しない現場”への期待と本来のセキュリティ - (page 3)

武田一城 (ラック)

2017-09-21 06:00

「運用でカバー」をさせないセキュリティ対策

 このように日本のセキュリティ対策市場は、既存ベンダーとユーザーのシステム部門の蜜月関係を背景に、その両者の環境に最適化され、製品導入に偏ったものとなってしまった。これは、リスクを定量的に把握して対応しようと考える海外などではあり得ない。日本だけが「運用でカバー」できる圧倒的な現場力を持って、さまざまな課題を解決してきた。そして、セキュリティ対策も本質的な議論がされないまま、これまでと同様に「対応できるはず」という誤解が生じ、現状に至った。

 しかし、本来あるべき姿はそうではない。システムに何らかの脆弱性や人間によるミスなどがあっても、それをカバーしてくれる仕組みこそがセキュリティ対策であるべきだ。つまり、セキュリティ対策を「運用でカバー」するのではなく、セキュリティ対策が運用をカバーすることが目指すべき姿なのだ。

 このことを実現するために効果的なのが、「セキュリティ・バイ・デザイン」という考え方だ。これはシステムの稼動後にセキュリティ対策を講じるのではなく、システムの設計段階からセキュリティ対策を組み込んでおくというアプローチだ。

 しかし、日本の環境では前回述べたように、システムのリプレース時にそれをするのは難しい。だから、リプレースの時期の前に、自社のセキュリティ設計をしておくことを強く推奨したい。そうすれば、「セキュリティを強化する」という上位での意思決定が、既にシステムリプレースの計画段階で実施されていることになり、リプレース時の“やっつけ作業”にはならなくなる。また、これを前提とすればビジネスの成長に合わせたシステムとセキュリティの両立、さらに継続的な改善の仕組みも実現できるはずだ。

 もちろん、このような理想的なセキュリティ対策がすぐに実現されることは難しいだろう。それでも、この一歩は非常に重要だ。少なくとも、インシデント発生後の対応ができないことを分かっているのに、免罪符のためだけに高度な攻撃を検知するシステムを導入する愚は防げる。そして、日本の企業がこのような地に足が着いたセキュリティ対策を少しずつ積み上げていくことで、いつしか「割に合わない」と攻撃者が諦め、サイバー攻撃が激減する世の中に近づくだろう。

武田 一城(たけだ かずしろ)
株式会社ラック
1974年生まれ。システムプラットフォーム、セキュリティ分野の業界構造や仕組みに詳しいマーケティングのスペシャリスト。次世代型ファイアウォールほか、数多くの新事業の立ち上げを経験している。web/雑誌ほかの種媒体への執筆実績も多数あり。 NPO法人日本PostgreSQLユーザ会理事。日本ネットワークセキュリティ協会(JNSA)のワーキンググループや情報処理推進機構(IPA)の委員会活動、各種シンポジウムや研究会、勉強会での講演なども精力的に活動している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]