対症療法ばかりで根治療法がないセキュリティ対策に、現場は疲弊している
昨今、標的型攻撃やランサムウェアなど、マルウェアによる脅威は増大し、被害も拡大している。大規模な情報漏えい事件が起き、大手企業や団体のトップが謝罪会見をするシーンも珍しいものではない。しかし、これら企業でも対策は行われてきたはずだ。にもかかわらず、情報漏えい事件は後を絶たない。それは従来のセキュリティ対策が対症療法であり、根治療法ができていないからだ。
総務省 最高情報セキュリティアドバイザー(CISA)であり、S&J 代表取締役を務める 三輪 信雄氏は、「経営者目線で言えば、情報漏えいは絶対にあってはならないこと」と強調、その問題を指摘する。
「経営者が自社のセキュリティ対策をIT部門に尋ねると、『ウイルスに感染すると迅速にアラートが上がりますので安心です』と説明を受けるでしょう。しかし、感染して情報漏えい後に分かるのなら、もはや対策としては手遅れです。そんなシステムに、経営者はお金をかけられません」(三輪氏)
つまり、従来の対策では「感染は避けられない」との前提で設計されており、終わりのない「イタチごっこ」の対策だった。
最近の対策では、さまざまな脅威の相関分析が可能な「SIEM」(Security Information and Event Management)や「SOC」(Security Operation Center)を整備し、インシデントに対応する体制、いわゆる「CSIRT」(Computer Security Incident Response Team)の構築など、高度な対策を打つ大企業もある。しかしこれらは非常に大きなコストを要し、中堅・中小企業では実装できないケースがほとんどだ。また、たとえCSIRTを構築しても、インシデント時の連絡窓口にしかならない “名ばかりCSIRT”であることも多い。
「CSIRTを構築しても、アラートが飛び交い、都度端末を隔離し、Active Directoryのログや盗まれた可能性のある履歴を調べ……。このように日々の対応に追われ、『CSIRT疲れ』を起こしているのが実情です」(三輪氏)
ならば、いっそのこと内部ネットワークをインターネットから分離する構成に変えてしまえば、(関係者の情報持ち出しを除き)安全な社内ネットワークから情報漏えいは起こらないはずだ。
「内部ネットワークから漏えいの可能性が限りなくゼロになることでインシデント・レスポンス対応も激減し、担当者は他の業務に集中できるでしょう。もう、感染を前提とした対応だけでは、厳しい時代に入っています」(三輪氏)
この記事の続き >>
・「くさい匂いは元から絶つ」セキュリティの根治療法とは?
・コストを抑える工夫に満ちた無害化ソリューション
・ユーザーごとに独立した仮想環境を用意