「セキュリティ人材がいない」と嘆く前にできること--技術との両輪から考える

技術の活用で人間が介入せずに回る仕組み作りを

ZDNetセキュリティに対する意識改革は実現できるものでしょうか。

名和難しいですね。現実には、セキュリティ・インシデントが起きても「なかったことしよう」というケースが多々ありますし、対応に当たるはずのIT部門を「(外部に漏れるかも知れないから)呼ばないようにしよう」、という笑えない話もあります。

河野過去の教訓をセキュリティ対策に生かそうとしても、そもそも判断の元になるログの取得すらしていなかったということがありますよね。セキュリティログをとっていると言うんですが、通常のIT活用のログと比べなければ、いま目の前で起きている事象が異常なのか、正常なのかさえも判断できません。学習と成長という言葉がありますが、判断基準がないので学ぼうにも学べないわけです。もちろん学べないので、成長もないということになります。偶然、被害を防げたというのでは、次につなげる反省ができません。

 ですから、「学習できるような基準づくり」を行い、事前の準備をしてITを利用し、判断のための情報を作ることができるログや記録を取っていくことが重要だと思います。「いざとなればフォレンジック調査をすればいい」という意見も聞きますが、調査で状況や証拠がある程度は分かっても、対策へ生かすには限界があります。事故が起きたときどのくらいの費用がかかるのかを想定して、事故のときに余計な費用を払わなくて済むように対策をしたり、ビジネス損失がないように、すぐに事業が復旧したりできるよう日頃から情報を収集しておくべきでしょう。

名和デジタル・フォレンジック調査は既に限界です。正規のツールを悪用したり、ファイルレス攻撃のように痕跡が残らない手法が増えたりしていることで、従来の調査方法では、攻撃を特定できる証拠とそうではないものを区別することが難しくなりました。HDDからSSDへの移行や、記録容量の増加によって調査にはより高度な技術が必要ですし、対応も長期化しています。

 それにもかかわらず、「明日の朝までに何とか証拠を見つけてほしい」と言われることが珍しくありません。とても間に合いませんし、できる技術者も限られているので、デジタル・フォレンジックの現場は疲弊しています。

河野よく言われている「高度なセキュリティ技術者」はそんなに多くないですし、育成も難しいですよね。調査や分析のための便利なツールやサービスが整いつうあるとはいえ、報告書の作成などは人間がやらなければいけないなど、スキルに依存することが多々あります。攻撃者が仕込んだウソにだまされないように、慎重に作業をするためには、中途半端な技量や経験では足りません。もちろん日々変化する複雑で巧妙な実際の攻撃に対応することは、簡単ではありません。技術力に加えて、セキュリティの原則を理解しつつ、ビジネスへの影響をイメージする。こういった広範囲な視野を持つ人材が必要ですが、なかなかいませんし、作れませんね。

ZDNetテクノロジをどれだけ活用できるかがポイントになりそうですね。

河野セキュリティベンダー以外がセキュリティ人材を育成する前にやらなくてはいけないことがたくさんあります。トラブルの際にサポートしてもらうために、セキュリティの専門家が活用できるデータや記録を取得し、利用しやすい状況にしておくことが重要だと思います。これらの運用を外部の専門家に任せることも選択肢の一つでしょう。

名和少ないリソースを必要な部分に集中させることだと思います。オンプレミスでやろうとすれば、多くのリソースを持たなければなりませんが、専門家に任せるプロセスを設ける、或いはより高度な攻撃の発生が予見される領域にコストや人的リソースを集中させることが大切です。

河野マイクロソフトとしては、ユーザーの皆さんからもっと多くのフィードバックをいただきたいですね。現場の情報があれば速やかに修正できるんです。最近ではオンラインサービスをご利用いただいていることもあり、状況を早くしやすく、改善のスピードもクオリティも向上してきたと考えています。

名和組織の中の連絡窓口のようなものを作るべきかもしれないですね。

河野そうですね。また、IT基盤の整備も必要だと思います。CISSPの講義で最初に教えることは、「費用対効果」と「人間の介入の最小化」というものです。人間がやっている対策を「残存リスク」として捉えて、これをカネか技術で解決できるように計画を立ててほしいと思います。

 セキュリティを自動化しようとしても、予算がない、技術が追いついていないといった理由で、どうしても人間がやらなければならない部分があります。これを払拭し、理想に近づけていくかを考えるのがセキュリティ技術者の役割の一つだと思います。名和さんのようなハイレベルなエキスパートをたくさん増やすというより、むしろ技術を活用してエキスパートに依存しない環境を作っていくべきだと思います。もちろん、それが実現するまでの間には専門的な人材はある程度必要になるとは思いますが。

ZDNet最後にセキュリティベースラインを上げていくポイントを教えてください。

名和いま、ITセキュリティを担当する方々がすごく苦労しているのをひしひし感じています。そこを何とか支援したい気持ちは、これまでも、これからも変わりません。企業のビジネスがITに大きく依存していることを、ITユーザーの方々に理解してもらえるようコミュニケーションを取る必要があるかもしれません。そのような努力に加えて、人が介入しなくても回るセキュリティシステムを提案していくことがポイントだと思います。

河野最新のITを知っていただきたいですね。例えば、DevOpsやサーバレス、クラウドストレージといったテクノロジが生まれ、活用されたのは、「開発者や運用者の言い訳を聞いて納期を遅らせたくない」「OSとアプリの相性問題に引きずられたくない」「使いたいだけ細かな単位でストレージを使いたい」といった要望を満たすためです。つまり皆さんに課題があれば、必ずそれを解決するための技術が生まれます。ぜひそれを探して活用していただきたいと思います。それが進んでいくことで、人間があまり関与しなくてもいいIT環境に近付いていくものであるべきかもしれませんね。

提供:日本マイクロソフト株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2018年6月30日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]