社内のログを監視する「諜報部員」
諜報部員というとなにやら物々しいイメージですが、私はこれを「さまざまなシステムから生成されるログを、社内に悪意あるものがいるという前提で精査する特別部隊」と解釈しました。残念ながら社内からのシステム改ざんなどの事件や、マルウェアが侵入した結果、内部からの攻撃による事件も多く、「ファイアウォールの中はクリーンな世界である」という認識をあらためなくてはならないからです。
以前、IBMによるセミナーでもログ解析の重要性を指摘していて、「膨大なログの中からビッグデータ的に怪しい行動をピックアップする」ということは、CPU処理の性能向上とともにむしろ好機になる、という印象的なコメントがありました。いま、ログは膨大な量となり、人の目では追えないレベルなのです。
ログが膨大で監視できない→中小企業ならむしろ有効かも?
と、ふとこの2つを結びつけ、反転してみました。大企業は諜報部員を作るべき、でも、ログの量は多い。ということは、むしろ逆にログの量が少ないであろう、中小企業で諜報部員を作る方が、(頑張れば)ログを目で追えるので、より効果的なのかも……?
具体的にはこうです。社内の諜報部員が、スーパーユーザーの権限にスイッチしたログを定期的に確認する、ログインの時間があからさまに深夜、早朝でないかを確認する、ユーザーごとの通信量を日々確認し、前日、前週とあからさまに変化があったらアラートを上げる……。このようなことをするには、むしろ従業員数が少なく、そんなに管理者権限を必要とする作業が少ない中小企業こそ、導入しやすいのではないでしょうか。
もちろん、ただでさえ専任のセキュリティ管理者を置けない状況です。そんなことをしたら「仕事が増える!」と思う方がほとんどでしょう。なので、ぜひこのコラムをお読みの経営者の方々、セキュリティに責任をお持ちの方々、ちょっと興味を持っていただきまして、こうした「会社の雰囲気」を作っていただけないでしょうか。諜報部員などという“ぶっそう”な役割は、上層部の協力なしには実現不可能です。会社のセキュリティリスクを減らすため、そして自らを律するために、試しに数カ月実施するでもいいと思います。
セキュリティにもかっこいい肩書きが必要?
「データサイエンティスト」という職種がにわかに注目されています。多くのデータから自分なりの仮説を立て、データの中から未来を探る――私個人的にはこの“データサイエンティスト”という仕組みのかっこよさに惚れています。
セキュリティの世界では、新人エンジニアが憧れるような肩書きが少ないからです。ひょっとしたら、諜報部員ではなく「セキュリティ・データサイエンティスト」のような名前を付けてあげると、仕事がしやすいだけではなく、この世界に興味を持ってくれる方も増えるのかも、とも思いました。
パズルのようにログを解析し、未然にトラブルを防ぐ――そうやって誰も悪者にしない仕組みができれば、もうちょっとシステムは明るく正しい状態になるのではないかと思います。そういう意味でも「諜報部員」という仕組みは面白いなあ、と思った取材でした。
