「Rely on tool, not people」日本企業が再考すべきセキュリティの在り方を指南

全データを暗号化する必要はあるのか

　いきなりですが、ハッカーが狙いたいものとは何でしょうか。当然ながら、多くのハッカーが狙いたいものは「企業のデータ」です。そのため、データが格納されているデータベースは、真っ先に攻撃の標的となるシステムの1つです。このとき、有効となるセキュリティ対策こそが「暗号化」です。

　よく見受けられるセキュリティホールとして、“データベース内の特定カラムのみ暗号化”しているケースが挙げられます。たとえば、盗まれたときの被害が大きなクレジッドカード番号のみを暗号化しているという企業も多いのではないでしょうか。しかしながら、氏名、住所、電話番号、生年月日なども盗まれ、公開されてしまうと被害が発生します。つまり、クレジッドカード番号以外を暗号化せずに平文で格納していることがリスクとなるのです。

　そのため、全てのデータベースを暗号化することをおすすめします。もちろん、認証を通したアクセスであれば、暗号化したままでもデータを利用することも可能ですので、業務に支障をきたしません。

　一方で、サーバー側については、端末側のセキュリティ対策と同様に“実行可能なアプリケーションのアラウドリスト”を設定することがおすすめです。アラウドリストを設定しておくことで、許可されていないプログラムは実行できないため、アプリケーションをトリガーとした攻撃は難しくなります。また、異常を迅速に検知できるように、サーバーのプロセス内で生成されるスレッドを監視する「スレッド監視」といったツールも有効です。

　なお、ルーターやIoTデバイスなどには、ベンダー独自のOSが入っている場合が多いことをご存知でしょうか。そのためリスクは高くなく、あまり意識しなくてもよいでしょう。むしろ、これらの端末に転送されるデータが適切に暗号化されているかどうかが重要なのです。