平成生まれのセキュリティプロフェッショナル集団がぶった斬り!! 企業におけるセキュリティ対策の実情に迫る!! - (page 2)
[PR]さまざまなメディアやセキュリティベンダーが、セキュリティリスクの懸念や対策の重要性について声を荒げているにもかかわらず、セキュリティにまつわる事件や事故はいっこうに減る気配を見せない。
まずは情報にレベル付けを多層防御・多要素認証で守る
── 企業では具体的にどのような対策が必要でしょうか。教育やシステム作りはどのように行えばよいのでしょうか
石森氏重要なことは、まず組織が保持する情報に対するレベルを付け、そして重要度に応じて分類することです。より重要な情報はしっかりと守り、そうでないものは例えばDropboxのようなストレージサービスを便利に使ってもよいとします。
しかし、多くの組織では、このレベル付けを行える部門や担当者が存在しません。決めるフローも存在しないため、セキュリティにおけるそうした安全性と利便性のトレードオフができないのです。そのため、極端な話、膨大な投資を行ってすべてを守るか、予算がないために何もしないかのどちらかになってしまいます。その結果、一見、全社を挙げてセキュリティ向上の対策に取り組んでいても、従業員がその抜け穴を見つけ、実際には、Dropboxや禁止デバイスが使われている、といったシャドーITも増えることになります。
先ほども述べましたが、自社が保持する情報の棚卸しと重要度に応じた分類を行い、自社のビジネスにとってどういったセキュリティインシデントがビジネスの妨げになるのかという点を事前に洗い出しておくべきです。これは、私たちセキュリティサービスベンダーにできることではありません。企業自身が行わなければならないことです。
そうしたガイドラインがあれば、仮にセキュリティインシデントが発生したとしても、迅速なレスポンスが可能です。例えば、CSIRT※を設立し、ガイドラインに沿って、サービスを止める、止めないといった重要な経営判断を行うことも可能でしょう。私たちが提供するセキュリティレポートにおいても、重要度をレベル分けして作成しています。セキュリティの「備え」には、とても大切な取り組みです。
※CSIRT:Computer Security Incident Response Team(シーサート)
── 企業のIT利活用の安全性を高めるため、注目すべきポイントや技術はありますか
石森氏やはり「多層防御」が重要だと考えます。特にクライアントサイドでは、運用やアクセス権の管理のために本人認証が重要です。現在主流となっているパスワード認証における問題は、非常に根深いものです。
例えば、定期的にパスワードを変更するという運用を行っているケースがありますが、私は無意味だと思っています。複数のシステムで同じパスワードを利用していないかぎり、どんなに変更してもパスワードを破られる確率は変わりません。むしろ、組織内でアカウントを共有していたり、退職者を管理していなかったり、攻撃を放置していたりするのかと勘ぐってしまいます。
クラウドサービスのID/パスワードを部署内で共有しているというケースも問題ですね。このような例は非常によく見かけます。法人アカウントとして共有を前提にIDを発行するサービスも多く、問題に拍車をかけています。
そこで必要な対策として、多要素認証を採用することをオススメしたいです。特に、ユーザアカウントの共有を防ぐという点においては本人認証が必要です。ユーザー認証の要素としては、パスワードのように本人しか知り得ない「知識情報」、社員証のような本人しか持っていない「所有物」、本人の身体的特徴を利用する「生体情報」があり、これらを組み合わせることが重要です。
所有物は、ユーザー間で貸し借りできてしまいますし、盗まれることも忘れることもありえます。その点、生体情報は貸し借りできませんし、盗むことも容易ではありません。スパイ映画などでは、相手を気絶させて無理やり指紋認証を行うなどのシーンがありますが、日常ではありえませんからね。
最近では、所有認証+生体認証を標準化する次世代認証プロトコル「FIDO」などもあり、安全性と利便性を確保しながら実装できるようになってきました。
── 生体情報は忘れないため、利便性が低下することも避けられますね
石森氏重要なことは、生体認証を取り入れることで、ユーザー1人1人を「管理」できるようになることです。ID/パスワード認証だけでは、共有が横行し、ユーザーごとの振る舞いや権限を適切に管理することが困難でした。
ユーザー行為を記録したり、見える化したりすることで、インシデントレスポンスやフォレンジックが容易となり、たとえセキュリティ侵害が発生しても迅速な対応が可能となります。
単に安全性を高めるというだけでなく、セキュリティ運用を正しい方向へと導くという意味でも、生体認証を用いた多要素認証の導入はこれからの情報セキュリティガバナンスの向上に非常に効果的です。
── 新しいセキュリティ対策には投資が必要ですが、不十分なままでは多額の損害を被る恐れがあることを認識すべきですね。被害額は、計り知れません
石森氏私は、あまり"脅し営業"的な文句は好きではないのですが、そのとおりです。
しかし、セキュリティは防災と同じで、リスクを理解して、有事に備えることが重要です。備えることで、健全なビジネスを継続することが可能となります。生体認証は、パスワードやカードに代わり、利便性を向上させるという点でも大いに意味があります。情報の取り扱いを見直し、業務フローを改善することは、企業経営の全体観点からもプラスになるはずです。
セキュリティリスクの対策を検討するときには、そうした前向きな姿勢を取り組んでいただきたいと考えています。