根本原因に対応しない限り、本質的な解決にならない
筆者の業務の経験上、「即効性のあるセキュリティ対策は?」と直接的な解答を求められることが多いですが、しかし、通常は次のようなステップで検討することをお勧めしています。
- 現状分析
- 有効な対策の検討と選択
- 実装の設計
- 運用の設計
こうしたステップを設ける理由は言うまでもなく、根本原因を特定し、それを封じる対策を講じない限り、再発防止にならないからなのです。
たとえば、一度サイバー攻撃を受け、正常に動作しなくなったサーバーを、OSから新たにインストールし直し、バックアップデータから復元することで、(その時点では)クリーンな環境に戻ります。しかし、根本原因に対処できないていない場合は、再度そのサーバーはセキュリティ侵害を受けることが実際にあるのです。
再びセキュリティ侵害を受ける理由の多くが、クライアント端末にマルウェアが感染した状況が残っているためです。その端末が再び攻撃を開始し、一時的にきれいになったかに思えるサーバーがまたセキュリティ侵害を受けるのです。
このような状況で、外部との不正通信を遮断するという対策をしたとしても、クライアント端末からの攻撃を封じる対策をしない限り、本質的な解決にならないことがお分かりいただけるでしょう。
”運用する体制”と”運用するためのプロセス”が重要
根本原因も特定できたし、それによるリスク低減策も十分に効果が期待できそうだとしても、まだ安心してはいけません。前述の(1)~(4)のステップを設ける理由は、十分に運用可能で、その対策が永続的に効果を発揮するように維持されることが事前に検討されることが重要だからです。
「これはすごい!」と思って導入した製品が、実際には運用できず期待した効果を発揮できなかったということが散見されます。 このようなことがないように、安定して運用することができるのかを、導入前にしっかり吟味することが重要です。
運用には、よく3つのPが重要とされています。People、Process、Productsの頭文字がすべてPになっていることからこの3つのPを考慮した運用設計が重要というものです。
単にセキュリティ製品を導入すれば終わりということではなく、それを運用する体制と運用するためのプロセスが重要なのです。
一例ですが 認証を強化するためにICカードを代表する多要素認証システムを導入したとしても、ICカードの紛失・盗難に備えて、当該カードでは認証を拒否するという仕組みがあってこそ認証が強化されたと言えます。紛失・盗難時の連絡体制、だれが失効処理をするのかなどがきちんと整備されてやっと課題解決と言えるのです。
