サイバーセキュリティ

サイバーセキュリティコラム

2017年07月25日

セキュリティの格言に注意

私はこの7月で情報セキュリティを生業として20年となった。この20年を振り返り、セキュリティ関係者として残念に思う格言が幾つかある。

先ずその第1が「セキュリティは技術だけでは守れない」と言う言い方。勿論それは正しいのだが、西暦2000年の中央官庁のホームページ改ざん事件を発端として、「セキュリティポリシー」策定がブームとなり、世の中技術的な対策よりも管理的な対策に目が向いてしまった事だ。極端には、技術的対策の導入をしない言い訳としてこの格言が用いられてしまった歴史がある。セキュリティは技術と人と運用が3本柱である事は今でも変わりがない。特に標的型攻撃に対しては、技術的対策の重みは以前よりも数段増している。

第2が、「侵入される事/事故前提」と言う考え方。これも正しい。但しその意味は幾ら対策を採っても完全に守り切る事は出来ないと言う意味で、守った上でそれでも侵入は起きるのでその侵入をいち早く発見し、被害を最小に留めるべきと言う考え方だ。これも対策を採らない事に対する言い訳言葉ではない。何処まで対策を採るかは、資産の価値、被害の甚大さ等リスクアセスメントの結果による事は言うまでもない。

第3にと言うかこれは格言ではないが、最近気になっているのが「MSS(Managed Security Service)」。監視サービスと言うのはスタート当初の呼び方、それがいつの間にかMSSになった。監視サービスは「監視するだけ(後は知りません)」と言うニュアンスがあり、それを乗り越えたサービスがMSSの筈。利用者としては「脅威」あるいは「インシデント」を管理してくれる事を期待しているが、実態としては「監視するだけ」のサービスが横行している。サービス提供者は顧客の期待に応えなければいけないが、それをするには、セキュリティに関する深い知識や広範囲なインテリジェンス、更にはセキュリティセンサー以外の機器のログの分析も必要となるだろう。逆にユーザ側としては、そのサービス提供者が十分なバックグラウンドと技術を持っているか調べるのも、選定の良い判断基準になるだろう。

筆者紹介

岸田 明(きしだ あきら)

KMSコンサルティング代表。
大手IT企業や参議院事務局など、第一線でサイバーセキュリティ対策に携わってきたこの道のエキスパート。 2016年3月よりキューアンドエーワークス株式会社の顧問に就任。