新しいデバイス、サービスの発展が予想外の脅威を生む
インターネットが普及する以前からITセキュリティの仕事に携わってきたプロフェッショナルのペスカトーレ氏から見ると、新しいセキュリティの危機の出現は新しい技術、デバイス、サービスの流行とリンクしているという。
例えば、古き良きメインフレームの時代は、今と比べれば狭く閉じた世界ではあるが、故に安全な世界でもあった。データセンターに鎮座するステムには専用端末からしかアクセスできない。結果として、脅威にさらされることも少なかったわけだ。
しかし、80年代にPCが登場すると、クライアント&サーバー型システムが普及。LANやインターネットなど外部ネットワークの一般化とあいまって、人々は様々なデバイスを利用するようになった。テクノロジーのトレンドに合わせて、ワームやマクロウイルス、スラマー、ブラスターといった脅威が発生した。さらに、最近では、フィッシング、ボットネットなどの新しい脅威や、facebook、twitterなどのソーシャルサービスを狙った攻撃が問題化している。
新たな脅威が生まれる度に、企業は自社のシステムを守るためにさまざまな対策を講じるようになった。しかし、脅威の範囲、内容はあまりにも多岐に渡ることも事実だ。
「多くの企業はIT予算の5~6%をセキュリティ対策に当てている。金融や政府などはもっと多いかもしれない。しかし、どんな企業や団体も全ての脅威に十分な対策を打つことは不可能だ」(ペスカトーレ氏)。
すべての脅威に対応することが現実的に難しい以上、自社のビジネスに対して致命的な被害を与えるものから優先的に手当てをするという姿勢をとらざるを得ない。そうしたスタンスで臨む限り、セキュリティを担保するためには、自社がどのような脅威にさらされているかを、抜け漏れなく常に把握しておく必要がある。
例えば、SaaSやクラウドサービスが企業情報システムに浸透するようになった現在、企業が持つデータが脅威にさらされる機会は以前よりも増えている。また、すっかりお馴染みとなった仮想化システムに対する攻撃も登場している。今後、企業のセキュリティを担保していく上では、テクノロジーの変化に合わせて、新しい脅威が登場することを予測しつつ、そのリスクを見極める必要があるだろう。「新しいサービスを利用することで、どのような脅威が発生するのか」「現時点で的確な対策を講じているか」などを検証するように心掛けたい。
データを守りきるために何が必要なのか
では、セキュリティ対策を考えるに当たって知っておくべき考え方にはどのようなものがあるだろうか。
ネットワーク・アクセス・コントロール
ファイヤウォールを設置するのは当然として、どのようなデバイスを使ってユーザーがアクセスしているかチェックする。場合によっては、特定のデバイスに対してアクセス制限を行うことも必要だろう。社外のビジネスパートナーがアクセスする場合は、ゲストネットワークを設けることも検討する。「アクセス管理はセキュリティ対策の基本。侵入者からの不正アクセスをまず防ぐことが肝要」と氏は述べる。
脆弱性管理
ペスカトーレ氏によると、アプリケーションに含まれる脆弱性を利用した攻撃によって多くの被害が生まれているという。ここには、ベンダー製品だけではなく、自社開発も含まれる。悪意を持った人間は「あらゆる場所から攻撃してくる」ことをセキュリティ担当者は念頭に置いておくべきだと氏は示唆する。
データセキュリティ
企業が最終的に守らなければならないのは、データに他ならない。ペスカトーレ氏は、「データを暗号化しておけば、盗まれても大きな脅威にならないという考え方は間違い」とし、「暗号化だけでなく不正を検知する仕組みを持つことが重要」とアドバイスする。具体的にはデータへのアクセスを常に監視する体制だ。
データセキュリティを担保する手段の一つとして氏が紹介したのが、『DAM(データベース・アクティビティ・モニタリング)』。システム管理者を含めたユーザーのデータアクセスの振る舞いを監視する考え方だ。例えば、深夜2時に何者かが2,500万件のデータを扱っているとしよう。システム管理者の場合は、データをバックアップしていると考えられるが、一般社員の場合は、注意深く監視し、アクセスログを緻密にチェックする必要がありそうだと見当がつく。ユーザーの行動からデータが脅威にさらされていないかチェックするわけだ。DAMと並行して、データベースシステムに対してどのような変更がなされたのかをチェックする『SIEM(セキュリティ情報イベント管理)』の手法も重要になる。
効率的なセキュリティ対策には、攻撃を特定し、防御することが肝要だ。誰がどのデータにアクセスし、どのような操作を行ったのかをモニタリングし、データ、アプリケーションなど特定の資産に対する脅威に対する備えを作る。もちろん、最終的には、それら以外の例外的な脅威にも備えるようにしていく。「データ保護戦略を効率的にとれるかどうかでセキュリティの質は大きく変わる」(ペスカトーレ氏)。
IAM(アイデンティティ・アクセス・マネジメント)
さらに、ペスカトーレ氏がクラウド時代のセキュリティ対策として確立すべきと訴えるのは、『IAM(アイデンティティ・アクセス・マネジメント)』のフレームワークだ。例えば、パブリッククラウド、プライベートクラウドの2系統を活用する場合、プライベートクラウドに部外者がアクセスするケースも出てくる可能性があるためだ。「社内スタッフのアイデンティティ管理を明確にしておくことで、安全にクラウドを運営できる」(ペスカトーレ氏)という。
