アジリティ重視のセキュリティ対策の弊害
初期のサイバー攻撃は“稚拙な攻撃者(スクリプトキディ)”と呼ばれるような愉快犯などが多かった。それが徐々に高度化し、近年では組織化された集団による組織犯罪としてのサイバー攻撃や、国家が支援する大規模な攻撃「APT」などが増え、被害額も増大している。
ここで狙われるのはクレジットカード情報や銀行口座など“お金になる情報”であり、ビットコインなどの新しい仕組みもすでに攻撃対象にも攻撃後の利益を確保するためにも使われている。攻撃者も個人から企業や組織へと変化し、これにより大規模な資金を使った活動も可能となったこともあり、セキュリティインシデント1件あたりの被害総額も数十億円規模へと拡大している。また金銭目的以外のサイバー攻撃の狙いも顕在化しており、米国大統領選挙にロシアの関わりが噂されるなど「政治的な意図」に基づく情報操作に対する備えが必要な時代になってきた。
これに対し一般企業のセキュリティ対策は『いかに攻撃を阻止するか』という「Resist(阻止) 」に重きが置かれる傾向にあるという。しかし、それによる弊害も生じているようだ。
藤井氏は「マーケットでは新しい製品やサービスが登場し続けているが、企業ではそれらを導入したことそのもので満足してしまう、あるいは次々と導入し続けることに疲弊してしまい、使いこなすことが十分にできていないのではないか」と警鐘を鳴らし、さらに「サイバー攻撃が境界の阻止だけで防げないことは昨今の事例からは明らかになってきていることを踏まえ、防ぎきれなかったものへの対策も求められる」と語る。
EYアドバイザリー・アンド・コンサルティング株式会社
サイバーセキュリティー Co-Lead パートナー 藤井仁志氏
そのために必要となるのは、サイバー脅威の予見と発見を迅速に行なう「Sense(察知) 」と、何らかの事故が起きた場合の被害を最小化にする「React(対応)」をバランスよく強化することである。「Resist(阻止) 」「Sense(察知) 」「React(対応)」の3つの防衛策がそれぞれを補完し合うことで、より高いセキュリティ環境が実現するというわけだ。
出所:EYアドバイザリー・アンド・コンサルティング 藤井仁志氏、
Security Online Day 2017(主催:翔泳社)講演資料より
近年、セキュリティ対策への要件として、「レジリエンス(復元力)」という言葉に代表される「インシデントから速やかに回復し事業を継続させること」が求められることが多い。しかし藤井氏は「実際の対策を見てみると、復元力よりも『アジリティ(機敏さ)』が重視されてきた」と指摘する。つまり、「新しい脅威に対してひたすら迅速に対応すること」が数十年来のセキュリティ対策として行われてきたことだったわけだ。
その結果の1つとして藤井氏は、2016年のグローバル情報セキュリティサーベイ(GISS)(関連リンク)による調査結果を示す。それによると、53%の組織が過去12か月でセキュリティ関連予算を増額しているものの、63%の組織は「セキュリティ機能が組織のニーズを満たしきれていない」と答えている。そこからは、次々と現れる脅威を調査し、対策を検討し、できる限りの予算を費やして強化をしているにも関わらず、実際には自社のセキュリティに対して自信を持ちきれていないという組織の苦悩が見えてくる。
組織がセキュリティを強化するとき、そこには3つのトリガーがあるという。まず1つは「法規制への対応」。個人情報保護法などへの準拠するための対応であり、抗うことはできないが、その対応範囲を最小限度に留めようとする。
2つ目は自社または同業者などに「実害が生じたとき」だという。この場合、計画的対応というよりも事象の再発防止という性格が強く、かつ短期間での対応完了が求められるため、同様にその対応範囲を最小限度に留めようとする。
そして3つ目が何らかの形で「他社が行なっているセキュリティ対策を知ったとき」だという。経営者同士の勉強会や懇談会などで気づきがあり、それがトップダウンで現場に降りてくるという状態だが、こちらも現場から見ると突発作業であり、やはりその対応範囲を最小限度に留めようとする。
しかし、藤井氏は「いずれにおいても包括的なプランに基づいて施策が考えられていない。それが“自信のなさ”の原因になっているのではないか」と分析する。
