コラム

リスクマネジメント / 情報セキュリティ / 情報セキュリティ

情報セキュリティ散策 第13回:セキュリティ組織

2014年10月31日

ブラジルワールドカップの後遺症に悩んでいる。
もう何か月前の話だと言われそうだが、期待(希望?)とはかなり違う結果を見たことの衝撃が非常に大きかった。おかげで監督の変わった新体制を見るのに力が入らない。

要するに、本番の結果はアジアレベルの大会や親善試合ではわからないとすれば、本番に至るまで結果を推測する手掛かりはなく、4年に一度のがっかりを座して待つしかないということになってしまう。
まあ南アフリカ大会の折には、その逆の驚きによる大きな喜びを得たわけではあるが。


さて、新体制の構築ということでセキュリティの体制、組織を考えてみる。
通常の状況を見ているだけでは、なかなか真の実力がわからないというところでは、サッカーチームと似ていなくもない。通常の道具の準備や管理の状況を見て、なんとかして緊急時の振る舞いやトラブル発生時に起こることが推測できればいいのだが、なかなかそうもいかない。

セキュリティの脅威が多様化複雑化する以前であれば、通常時にできていることをきちんと見ていけば、ある程度起こることの予測はできたかもしれない。
が、昨今では脅威のほうも長足の進化を遂げ、標的型攻撃のような大きなプレッシャーがかかってくることもある。


まったくどうすればいいのか途方に暮れるが、脅威をいくつかに分類して認識し、対処を検討することは基本であり、困難で非効率なように見えても後から考えれば結局は効率的な対策になる気がする。
分類とは、例えば脅威≒攻撃者を攻撃意欲と技術力の2軸で整理するようなことである。
攻撃意欲、技術力とも並以下の相手であれば、脅威の顕在化は偶発的な域を出ないので、脆弱(ぜいじゃく)性を持った環境であってもそれが見破られない可能性があるし、一般的な対策によってはね返される程度の攻撃力しかないことも考えられる。

セキュリティ対策としては、セキュリティルールを愚直に守っているか防御の仕組みが機能しているかを確認し、ほころびたら修繕をしておけばいいので、特に専門性の高い組織でなくてもできるかもしれない。

一方で攻撃意欲と技術力の高い攻撃者を想定すると、そうはいかない。

中高生のサッカーチームのディフェンダーで他国のナショナルチームの攻撃陣を抑えるというのは、かなり無理な話である。
ただ、サッカーでもセキュリティでも相手の実力は見えないので、たまにうまく行ってしまうことがあるので話がややこしくなるが。それはラッキーと考えなくてはいけない。

攻撃意欲と技術力の高い攻撃者に対しては、どうしても守備の専門家が必要になる。

資金が豊富にあれば、高いディフェンダーを手配し先発メンバに加えればいい。プレミアやブンデスリーガクラスのディフェンダーやキーパーを雇い入れる。そこまで資金がないとすれば、(普通はないのだが)いつどのようなケースで守備の専門家を呼び出すのかを明確にするしかない。

自社はいかなる脅威にさらされているか? 攻撃を受け始めた可能性があるか? などを見分けるための仕組みとして、種々のログの監視や侵入検知等の仕組みを配し、そこから挙がってくる予兆に対して判断を明確にして、専門家を呼び出せるようにする。

ここで注意しなければいけないのは、判断するにはある程度以上の知識が必要なことを認識しなければならないことだ。
正直、この判断は難しいが、ここはできれば社内で要員を確保したいところである。

セキュリティ組織の概形は、このような考えで構成されるべきだと思う。
とは言っても、攻撃意欲と技術力が異常に高いハメス・ロドリゲスやネイマールのようなクラスに狙われれば、専門家によっても守ることができず、やられた後の始末をするのが精いっぱいになってしまうのは想像に難くない。

ここまでを視野に入れれば、漏えいや改ざんで大きな被害を受けるような重要情報については、他とは別格にして技術的にも物理的にも人的にも堅牢な環境に隔離することを選択したほうがいいかもしれないという認識を持つのも大切なことである。

早乙女 真
​​MENU