IoT時代にサイバーセキュリティの基本に立ち返るための5カ条

この記事をシェア

「先端」「次世代」「IoT」「人工知能」といった言葉が情報セキュリティに関するセミナーや展示会であふれ返っている。そうした表現そのものの是非はさておき、セキュリティの世界が間違った方法で物事を捉えていないか、本当に世間の需要に応えているのか、あらためて問う必要がある。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

IoT時代にサイバーセキュリティの基本に立ち返るための5カ条

サイバーセキュリティにおける新しい見方について考えてみたい。それは、ビジネス上直接結び付くようなものではなく、サイバーセキュリティそのものをゴールとする見方である。この見方に立てば、どれほど多くのセキュリティ関連組織が目標を見失っているかが分かるだろう。

1 ビジネスとビジネス上のリスクから出発すること

セキュリティを実行に移すというのは、とてつもなく複雑なことのように見えるが、その本質は極めて単純である。セキュリティとは、リスクを減らしたり取り去ったりすること、そしてリスクを可視化し企業がこれを受け入れつつ仕事を続けていけるようにすることにほかならない。このことをできる限り効果的かつ効率的に行うために、セキュリティ業界の人間は、まずビジネスというものを理解する必要があり、これを単にITの観点からだけではなく、より広くビジネスそのものの観点から眺めなければならない。

こうしたビジネス第一主義から出発して、まず個々のビジネスに特徴的なリスクを見定め、マッピングし、分類する。それから、顧客企業と一緒になって、取り組むべきリスクが何々であり、それらをどの順番で扱っていくかを決める。

そして、それらが済んで初めて、その会社のセキュリティ責任者が、決められた変更点をどのように実行するかが書かれたセキュリティプランを立てるのである。そのプランには、はっきりとした中間目標や最終目標、またそれぞれの目標の達成期限が明記されていなければならない。理想的に言えば、それは「賢い」やり方で、複数のプロジェクトを同時進行させたりせずに、一度に一つずつ、行う方がよいだろう。

2 到達目標とそこに至る諸段階を明確にした「セキュリティロードマップ」を描くこと

セキュリティへのアプローチの仕方を決め、セキュリティの工程表を描くことが大切であり、それを既存の基盤の上にある自分のビジネス内容に照らし合わせて議論し、どこにいつ修正を施すかを考える必要がある。こうして作られた工程表が実行に移されると、予定された個々のプロジェクトは全て、リスクを減らし、最終目標を達成することに寄与するはずだ。
その一方で、ビジネス上の目標を見失わないことが肝要であり、セキュリティ責任者は、セキュリティ上の方策のせいで当のビジネスを「制限したり、妨害したり」してはならない。プランの立案は、ITスキルがない人も含め、誰もが理解できるものでなければならない。もちろんITにはITの役割があるが、ITがその役割を演じるのは、セキュリティプロジェクト実行の際にIT固有の解決策が必要となる時に限られる。

3 より進んだセキュリティ対策を導入する前に「基本」を押さえておくこと

より進んだセキュリティ対策を導入する前に「基本」を押さえておくこと

展示会ではほとんどの会社のブースが、基本的なセキュリティ対策ではなく、より進んだ最新のセキュリティ対策だけをアピールしている。セキュリティ企業によるそうしたテクノロジーのお披露目はしばしば驚異的に見え、確かに興味深いコンテンツを提供している。だが、一般の企業向けとしては先端的すぎる。さらに、実際の経験が示しているように、ほぼ全てのハッキング(約90%)はいまだに、例えばフィッシングメールやマルウェアの添付といった最もシンプルな方法を用い、最もシンプルな弱点を突いてくる。そしてもちろん、鎖の最も脆弱な輪、すなわち「人間」は、いつもそこにいるのである。

企業は第一に、こうしたシンプルなリスクに対する基本的なセキュリティ対策を備える必要があり、もっと進んだテクノロジーに目を向けるのはその後で構わない。最新テクノロジーも重要なことには変わりない。いつかは会社に導入されることになるかもしれないが、それは、基本をしっかりと整えた後の話である。セキュリティ関連のセミナーでは、よく「洗練された脅威」や「高度持続標的型攻撃」(APT)に焦点が当てられることがあるが、TalkTalkAshley Madisonのような企業は、もし仮にそこで基本的なセキュリティ対策が実施されてさえいれば、しっかりと防御が機能し、攻撃を避けることができたかもしれない。

4 確かなパートナーシップを打ち立てること――ITセキュリティのプロたちの連携・協働が鍵となる

確かなパートナーシップを打ち立てること――ITセキュリティのプロたちの連携・協働が鍵となる

新しい製品が次々と開発され、不正を行う集団や個人は、ますます多様で進化した攻撃と戦術を考えるようになる。そのうちに、企業のセキュリティロードマップがもっと広い地域をカバーするようになり、より進んだセキュリティ対策が、この工程表に不可欠のものとなるかもしれない。しかし、「家」を建てることができるのは、そこに「基礎」が前もってしっかりと置かれているからである。そしてこの家を建てるためには、建築家、不動産業者、大工、内装業者、それにもちろん施主……こうした人々全ての協働が必要になる。

セキュリティの世界に必要なのは、まさにこのように何かを一緒に作り上げていくという感覚なのだ。施主や建築家が、同時に最高の技術を持ったレンガ積み職人や塗装工、大工を兼ねるということはあり得ないのだから、家を建てるのと同じように、私たちも他の業種の人々と強く連携して、共働作業をしていかなければならない。

どんなセキュリティ企業も、その1社だけでは、それぞれ異なった個々のリスクに対する最良の解決策を提供できないのだから、「誰かと一緒に仕事をする」のは避けようがない。企業に損害を与えようと手ぐすね引く者たちは、もうすでにそうしている。セキュリティのプロたちも今こそ、彼らと同じことをしなければならない。私たちは、施主(=ビジネス)と手を携え、基礎(=工程表)をしっかりと据えた上で、真っ当な建築会社(=セキュリティベンダー)と良好なパートナーシップを築く必要がある。そうして初めて、頑丈で頼もしく安全な家を建てることができるだろう。

5 成功への王道は全員参加

セキュリティとビジネスの関係を発展させていくためには、ビジネスの側がセキュリティを理解し、支援することが必須であり、またその逆も同様である。セキュリティ責任者には、簡潔で明確な説明を提供することで、社内のさまざまな関係者全員に情報を共有させて、セキュリティに関与させる能力がなければならない。もしそれができなければ、ビジネス側ないし経営陣は決して分かろうともしないだろうし、たとえそのプランがどれほど素晴らしいものだったとしても、その実現に必要な投資や支援は期待できないだろう。かつてアインシュタインはこう言った――「簡単に説明できないのは、よく理解していないからだ!」と。

この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!