世界は変わった？ 変わらない？ 変化の中で引き続き求められるバランスの取れたセキュリティ対策：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

[高橋睦美，ITmedia]

　さらに、「セキュリティ管理策は1回実施して終わりではなく、やり続けることが必要です」と指摘。例えば、1度アセスメントを実施して終わるのではなく定期的に実施し、どの程度改善できているかを計測する、セキュリティ製品を導入して事足れりとするのではなく、きちんと監視し、日々飛んでくるアラートに対応するといった運用の視点が重要になる。さらに言うと、ポリシーや社員の教育コンテンツについても、変化に合わせて適宜見直しをするといった「運用的な視点」を持てるかどうかが重要だとした。

　運用的な視点を持って検討すべき課題の一例が脆弱性管理だ。20年前ならば、脆弱性が公になってからパッチを適用するまでに数カ月から半年程度の猶予は許されていたかもしれない。しかし今やそんな余裕はなく、いかに迅速に脆弱性の重要度を判定しパッチを適用するかがポイントとなっている。外部に委託しているシステムのパッチ適用も含め、運用の観点からどう取り組むかも重要な論点になるとした。

ハンズオン形式の演習やテストを通して自らの見直しを

　3つ目の要素である技術については、サイバーセキュリティへの関心が高まり、社内でいろいろな人が議論に参加するのはいいものの、リテラシーの差に起因するコミュニケーションコストの増大という課題があると鎌田氏は指摘した。逆に、議論に参加する人たちに技術的な理解があればコミュニケーションコストが低い、いわば「話が早い」状態を作り出すことができる。

　そのために有効な手段は、やはりインシデント対応演習だ。「教科書で一生懸命勉強するのはいいのですが、体系的に理解できていないことが多くあります。やはり実際に自分で手を動かすハンズオン形式の演習への参加が、自分自身を見直すきっかけになると思います」（鎌田氏）

　また、セキュリティフレームワークに基づいて一通りいろいろな対策を実施し、チェックリストをクリアしていたにもかかわらず侵害されてしまう事例は珍しくない。鎌田氏は、これまで導入してきたセキュリティ対策が本当に有効なのか、特に、ひとたび侵入された後のラテラルムーブメントにどの程度対策できているかを確認する上で、「ペネトレーションテスト」「レッドチーム演習」が有用だとした。

　「求められるセキュリティ対策を要素技術に分解していくと、実はこの20年間ほとんど変わっていないものばかりです。ITの要素技術をきちんと身に付けることが、この先セキュリティに携わる上でも、新しい技術を理解する上でも必要で、重要なポイントになります」（鎌田氏）

経営、管理、技術という3つの要素のバランスが取れた対策を

　鎌田氏は最後に、全体を俯瞰したバランスのよい対策が必要だと強調した。管理策に重きを置くあまりに技術策がおろそかになったり、逆に技術策を追求するあまりに全体のカバレッジができていなかったりしないかを自問すべきだという。

　「社内では経営、管理、技術という3つの要素をバランスよくカバーしていくことが重要です。また社外という意味では脅威、脆弱性、リスクという別の視点があります。どれか1つだけ見ていてはだめで、3つをバランスよく見るべきです」（鎌田氏）

　ただバランス、バランスと言っても、現実的には何らかの優先順位が必要で、それをどう考えるべきかで悩む場面は少なくない。

　鎌田氏は「“これをすればいける”という正解はありません。自分で考えなければならず、何をやるにも時間がかかるのがサイバーセキュリティの難しいところです」とした上で、社内外の情報や人と関わりを作り、認識を高めて、また自分たちだけで頑張るのではなく時には外部の専門家の力をうまく使い、コミュニティの力を借りながら対策を進めてほしいとアドバイスし、講演を終えた。