具体的な対策をアプローチ別に「4象限」に分類して解説
脆弱性に対処するための具体的な方策についても、“技術”と“人”のそれぞれの観点からのアプローチが考えられる。たとえばセキュリティ製品や各種ツールを導入するといった「技術面からのアプローチ」がある一方、ユーザーに対してリテラシー教育を施したり最新の攻撃手法に関する情報を収集・周知したりといった「人の面からのアプローチ」も存在する。
そのため、脆弱性とそれに対する対策アプローチには、以下の4種類の組み合わせが存在する。
1. 技術の脆弱性に対して技術の観点からアプローチする
たとえばマルウェアに関する技術的な脆弱性に対して、アンチウイルスのような対策技術を導入することで脅威に対処していく。これは最も一般的で多くの技術者にとってイメージしやすい領域だが、それだけに「製品を導入すれば安心」という油断が生じやすい領域でもある。そのため西川氏は、「視野を広げて対処することが重要」と説く。
「たとえばフィッシングメール対策を考える際、メール送受信の部分に対策を導入するだけでは近年の巧妙な攻撃は防ぎきれません。不正サイトへのアクセスをブロックする対策や、万が一感染してしまった場合に備えたエンドポイント対策など、メール以外の観点での対策もバランス良く組み合わせて多段で防御するアプローチが重要です」(西川氏)
2. 人の脆弱性に対して技術の観点からアプローチする
この領域では、資産管理やデータ保護といった対策を代表例に挙げた。人の脆弱性の代表例である「人的ミス」はどうしても根絶できないため、「メールの宛先間違いを防ぐ仕組み」や「紛失した端末の遠隔ロック」など、人的ミスの発生を前提とした技術的対策の導入がどうしても必要だ。
もう1つの代表例である「内部不正」に対しても、「禁止」「抑止」「監査」という3つの観点から技術的対策を講じることが効果的だと同氏は強調する。
「社内情報が流出しないように、私用の端末にデータを転送したりUSBメモリでデータを持ち出したりすることを禁じるとともに、ログを取得・監視することで、こうした操作が行われた際には『必ずバレる』という状況を作ることが重要です」(西川氏)
3. 技術の脆弱性に対して人の観点からアプローチする
どれだけ優れた技術や評判の高い製品・サービスを導入しても、人による運用が疎かだと効力が発揮されない。たとえば、メールセキュリティの技術的な対策として多くの企業が導入している送信ドメイン認証だが、運用が疎かになっているために実効性をともなっていないケースが多いという。
「送信ドメイン認証技術の1つであるDMARCを多くの企業が導入していますが、日経225企業に着目してみるとDMARCを導入しているドメインの約8割がいまだに『p=none』(何もしない)の設定で運用を続けています。実際には『p=reject』『p=quarantine』の設定にすることでより効果的な対策が可能になるのですが、そのためには知識や運用ノウハウが必要となるため、そこまで踏み込めていない企業・組織が大半です」(西川氏)
こうした状況から脱却するためには、「外部のベンダーに相談したり、運用をアウトソースしたりするなど、人の観点からのアプローチを改善することで『p=none』から脱却して、送信ドメイン認証を次の段階へとアップデートできます」と西川氏は提案する。
4. 人の脆弱性に対して人の観点からアプローチする
この領域は「対策としては最も後回しになりがちで、かつ着手しにくく見落としがちな観点」だと西川氏は指摘する。具体的にはセキュリティ教育やガイドライン策定などの施策が含まれるが、効果が見えにくいため取り組みづらい側面がある。
しかし、どれだけセキュリティ環境を整備しても、それを利用するユーザー自身が「これくらいのことなら、やってもバレないだろう」という程度のリテラシーしか持ち合わせておらず、自ら対策をかいくぐる行動をとってしまうと、せっかく導入したセキュリティ対策も結局は無意味になってしまう。こうした事態を避けるためには、やはりユーザーのリテラシー向上の取り組みが欠かせないと同氏は強調。そのうえでリテラシーの向上においては「e-learningによる教育や社内の情報周知はもちろん大事ですが、それだけに留まらず実践的な訓練や演習を定期的に行うことが重要です。疑似的なインシデントを繰り返し体験してユーザーにリスクを肌身で感じてもらうことで、いざ本当のインシデントが発生した時にも素早く対応できるようになります」と付け加え、実践的な訓練の重要性も説いた。
専門家との対話を通して自社の「セキュリティマップ」を作成
西川氏は、これらの脆弱性への対策を体系的に検討するためのツールとして「セキュリティマップ」の活用を提案する。NISTのサイバーセキュリティフレームワーク2.0を参考にしたこのマップでは、「識別」「防御」「検知」「対応」「復旧」という5つの枠組みで対策を整理する。
「このマップを基に、自社の対策状況をあらためて見直してみることをお勧めします。これによって、たとえば『技術の脆弱性に対して、技術の観点でしかアプローチできていない』『人の脆弱性に対して技術の観点でしかアプローチできていない』といった気付きが得られます」(西川氏)
IIJでは「IIJ Sketch & Draw Workshop」というワークショップのサービスを提供しており、企業のセキュリティ担当者がIIJの専門家との対話を通じて現状の課題を整理し、セキュリティマップを描けるよう指南しているという。
「『知見がないため対策をどう進めればいいのか分からない』『ノウハウがないため環境を古い状態のまま放置してしまっている』といった課題に対して、『人の観点からのアプローチ』を新たに持ち込むことで課題解決の支援を提供します。現状整理と課題抽出のための第一歩として、ぜひ利用を検討していただければ幸いです」(西川氏)
