EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

「Rely on tool, not people」日本企業が再考すべきセキュリティの在り方を指南 【第4回】セキュリティのコストは、2番目に考えよう

edited by Security Online   2021/10/19 08:00

 前回は、今やるべきユーザー端末側(エンドポイント)のセキュリティ対策について解説しました。本連載の最終回では、データベースやサーバーのセキュリティ対策をはじめ、組織としてのセキュリティ対策への取り組み方、投資コストの捉え方という視点で解説します。

全データを暗号化する必要はあるのか

 いきなりですが、ハッカーが狙いたいものとは何でしょうか。当然ながら、多くのハッカーが狙いたいものは「企業のデータ」です。そのため、データが格納されているデータベースは、真っ先に攻撃の標的となるシステムの1つです。このとき、有効となるセキュリティ対策こそが「暗号化」です。

 よく見受けられるセキュリティホールとして、“データベース内の特定カラムのみ暗号化”しているケースが挙げられます。たとえば、盗まれたときの被害が大きなクレジッドカード番号のみを暗号化しているという企業も多いのではないでしょうか。しかしながら、氏名、住所、電話番号、生年月日なども盗まれ、公開されてしまうと被害が発生します。つまり、クレジッドカード番号以外を暗号化せずに平文で格納していることがリスクとなるのです。

 そのため、全てのデータベースを暗号化することをおすすめします。もちろん、認証を通したアクセスであれば、暗号化したままでもデータを利用することも可能ですので、業務に支障をきたしません。

 一方で、サーバー側については、端末側のセキュリティ対策と同様に“実行可能なアプリケーションのアラウドリスト”を設定することがおすすめです。アラウドリストを設定しておくことで、許可されていないプログラムは実行できないため、アプリケーションをトリガーとした攻撃は難しくなります。また、異常を迅速に検知できるように、サーバーのプロセス内で生成されるスレッドを監視する「スレッド監視」といったツールも有効です。

 なお、ルーターやIoTデバイスなどには、ベンダー独自のOSが入っている場合が多いことをご存知でしょうか。そのためリスクは高くなく、あまり意識しなくてもよいでしょう。むしろ、これらの端末に転送されるデータが適切に暗号化されているかどうかが重要なのです

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


関連リンク

著者プロフィール

  • ジェリー・レイ(Jerry Ray)(ジェリー・レイ)

    SecureAge Technology 最高執行責任者(COO) 兼 SecureAge 株式会社 社長   1991年、コーネル大学でオペレーションズリサーチ工学の学位を取得。 その後、十数年にわたり日本やシンガポールを拠点に、米国系エンタープライズ・ソフトウェア企業や複数の米国系サービス企業の国際ビジネス開発コンサルタントとして活躍。前職の世界的暗号化通信企業サイレントサークル社では、アジア太平洋地域担当上級副社長を務めている。 国際サイバーセキュリティの世界的オピニオンリーダーとしても活躍しており、ウォール・ストリート・ジャーナル、Wired、ComputerWeekly、Channel Futures Online等主要メディアの取材対応や、専門家としてコメントも発信。堪能な日本語を生かし、日本語での取材やセミナーへの登壇も行う。

バックナンバー

連載:セキュリティのデジタルリテラシーを高めよう
All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5