迷宮化するセキュリティ対策、脱出の鍵は「自分の頭で考える」こと――Armoris 鎌田敬介氏：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

きちんと自分で考えた上でセキュリティ対策を実施していくことが大事だ。では「具体的にどうすべきか」を自分で考えるための6つのアプローチとは。

[高橋睦美，ITmedia]

Armoris 取締役専務CTO 鎌田敬介氏

　サイバーセキュリティの重要性が広く認識されるようになり、ちょっと調べれば、関連するガイドラインやベストプラクティスも容易に参照できるようになってきた。だがその結果、ある種の「思考停止」に陥っている状況も散見されるようだ。

　20年以上にわたってサイバーセキュリティの業務に携わり、「サイバーセキュリティマネジメント入門」の著者でもあるArmorisの取締役専務CTO、鎌田敬介氏は、「セキュリティ対策迷宮からの脱出 〜自律的に考えられるようにするために〜」と題する講演を通して、「自分の頭で考える」ことの重要性を改めて呼びかけた。

「なぜ危険か、なぜ重要か」が抜け落ちたままアドバイス？

　鎌田氏がこんな講演を思いついたのは、あるセキュリティコンサルタントとの雑談がきっかけだったという。

　とある企業の社内システムでFTPが使われていたことが発覚し、このコンサルタントが「FTPは危険だからやめた方がいい」と指摘したところ、大いに感謝されたという。この話に対して鎌田氏が「社内システムでの利用なら、そこまで気にしなくていいのではないか」と掘り下げて確認していくと、どうやら「なぜFTPが危ないと言われているのか」を理解していないままアドバイスしていたことが見えてきたそうだ。

　「あれは危ないとか、これはこうであるといった事柄を知識としては持っているものの、なぜそうなのかというところまで考えていなかったり、知らなかったりするケースが多いことに気付くきっかけになりました」（鎌田氏）

　その上で鎌田氏は「世の中にはいろいろなガイドラインやドキュメント、スタンダードがあります。私たちは基本的にそういった文書に沿って、“二要素認証を使いましょう” “暗号化しましょう”といったセキュリティ対策を行いますが、なぜそういった事柄が書かれていて、なぜ重要なのかを知らない人が意外と多いようです」と話す。

　背景には仕方のない事情もあるだろう。特に、セキュリティ対策の必要性が叫ばれ、公的なガイドラインが次々に出てくる中では、背景まで掘り下げる時間的余裕もない。結果として、本来は技術的に不要な施策であるにもかかわらず、「ここにこう書いてあるから、とにかくその通りやるしかない」という状況に陥るケースも少なくないようだ。

　鎌田氏はこんな不可思議な状況に対し、「やはり、きちんと自分で考えた上でセキュリティ対策を実施していくことが大事ではないか」と訴えたいと考え、こんな一風変わったテーマで講演を行うことにしたと説明した。

広がるセキュリティの世界で求められる「自分で考える」ことの重要性

　ひるがえって、昨今のサイバーセキュリティを巡る状況を見てみると、考慮すべきテーマは増える一方だ。

　鎌田氏が思いついたキーワードを列挙するだけでも、サプライチェーンやサイバーレジリエンス、あるいは情報操作、法律・規制やプライバシーから経済安保に至るまで、取り上げるべきテーマは多岐に渡る。「次から次へと新たなテーマ、新しいキーワードが登場し、そのキーワードがどんなものなのかを調べていく間にまた次のキーワードが登場するという具合で、追いかけるのも大変になっています」（鎌田氏）

　サイバーセキュリティがカバーすべき領域もどんどん広がっている。「サイバーセキュリティは経営課題である」と指摘されて久しいが、もはや技術だけで解決できる課題ではなく、組織全体での対応を検討していく必要がある上に、近年は、国家安全保障の文脈からも対応が求められるようになってきた。この結果、「カバーしなければならない範囲が非常に広く、しかもテーマごとの深みもかなりある状況です」（鎌田氏）

　かといって、どこかよその組織のやり方をまね、まったく同じ対策を実施すれば解決する、という類いの問題ではない。そもそも企業のIT環境はそれぞれ異なる。「個社ごとの事情がある中で個社ごとにITを考えなければなりませんし、どんな観点が重要なのかを踏まえてサイバーセキュリティ対策を実施していくことが求められます」（鎌田氏）

　このような状況では、「自分で考える」ことが、さらに重要になってきていて、自分で考える際のアプローチとして、「全体像を把握する」ことが有効だと強調した。

　「飛んできた球を打ち返すのではなく、まず全体像を描き、その中でどこが重要か、何を優先すべきかを考えていく必要があります」と述べた。これは、同氏が常々議論している「経営層とのコミュニケーション」を円滑にし、理解してもらう上でも重要だという。

　しかし、何の手がかりもなしに全体像を描くのは難しい。そこで、NISTのサイバーセキュリティフレームワークやISO27000シリーズ、あるいはCISコントロールなど、いわゆる「ガイドライン」「スタンダード」といわれている枠組みをベースに考えることで、「何が足りないのか」「どこから取り組むべきなのか」が見出しやすくなるとした。業界ごとに個別に制定されたガイドラインも、全体感を把握する上で有用だという。

　ただ、忘れてはならないポイントがある。「全体像といっても、ここに書いてあることが全てではありません。ここにさらに自社の状況を当てはめたり、社外の脅威情報を組み合わせたり、“いま、自分たちはこういう状況にあるからここを目指していくんだ”と考えることが、サイバーセキュリティに取り組む際に重要です」（鎌田氏）

　それも、技術的な施策と、ポリシー策定をはじめとする管理的な施策、どちらかに偏るのではなくバランスよく進めていく必要があるとした。

　一つ留意したいのが「陳腐化しているものはないか」という視点だ。多くのサイバー攻撃被害を見ていると、古いものをずっと運用し続け、対策を先送りしたことが原因で侵入されているケースが多いからだ。

　そもそも、企業のIT環境を完全な状態に保ち続けることは不可能だ。その事実を踏まえ、「脆弱なところはどこにあるのか」を把握し、リスクに対処するか、あるいは受容するかといった判断を、全体を見極めながら下していくことが重要だとした。