具体的な状況に基づいた議論こそが生み出す意味のあるセキュリティ対策とは――Armoris 鎌田敬介氏:ITmedia エグゼクティブセミナーリポート(2/2 ページ)
業務を復旧させるにはシステムそのものの稼働はもちろんだが、安全なネットワークやリモートアクセス環境も必要になる。より広い視点で「業務を復旧させるには何が必要か」を考えた上で備えてほしい。
一般論ではなく、具体的な情報に基づいた議論が導き出す意味ある対策
鎌田氏は、被害と対策を具体的に考えるケーススタディとして、ランサムウェア対応を挙げた。
すでにさまざまなところで説明されているとおり、ランサムウェアの被害に遭うと、侵害を受けてデータが持ち出される他、データが暗号化されてシステムが止まり、業務が止まってしまう恐れがある。攻撃者から直接、身代金を支払うよう脅迫を受けることもある。そして、持ち出されたデータが一般に公開されると、情報漏洩により多大な影響を被ることは、周知の通りだろう。
こうした影響に対し、技術的な対応はもちろん、場合によっては経営判断も含めた組織的な対応が求められ、セキュリティ専門家に助言を求めた時によくあるのが、「セキュリティ的に最強だが、コストばかりかかってしまう」非現実的な対策を推奨されるケースだ。残念ながら「現実的にどのラインが妥当なのか」を議論できるセキュリティベンダーは少ない。
「業務停止への対応にしても、やはり具体的な論点が重要だ。単に「何か起きたらシステムを復旧します」と手続きを書いて終わらせるのではなく、「どれぐらいの時間で復旧できるのか」「もし復旧できなかったらどうするのか」など、多様な観点を含めてプランを考えていく必要があるとした。
なお、「システム」ではなく「業務」を復旧させるという視点からは、アナログな手続きへの切り替えも効果的な選択肢となる。「業務継続を重視するという意味では、必ずしもシステム的な対処が全てではありません」(鎌田氏)。システム停止で業務ができなくなり、手の空いた人に、他部署のアナログな作業や顧客への説明などを手伝ってもらうといった柔軟な発想も有効だ。
身代金要求についても、単純に「払う、払わない」の議論に集約されがちだが、実際には「自社の被害はどれくらい大きいのか」「社会的な影響はどのくらいか」を踏まえ、具体的な状況を考えていかなければ、建設的な議論はできないという。
例えば2021年に米国で発生したコロニアルパイプラインのランサムウェア感染において、同社は約4億円に上る身代金を支払った。この判断について同社のCEOは、攻撃者に金銭が流れるのは許しがたいことだとしながらも、「重要インフラ事業者として、数カ月単位でガソリン供給が止まり、社会が混乱することを考えれば、身代金を支払ってでも業務を継続する方を優先した」と議会で証言している。このケースが示すとおり、置かれた状況に応じて払う場合のリスク、払わない場合のリスクを検討し、最終的には経営者が判断を下すことが必要になるだろう。
データ公開への対応だが、これもまず、攻撃者が公開すると脅迫に使っているデータが本当に自社にとって重要なものなのか、それとも一般に公開されているデータをただ「盗んだ」と偽っているだけなのかを見極めなければならない。この場合もやはり、世の中であり得るケースを網羅するよりも、自社にとって重要な情報は何かという具体的な状況に基づいて考える方が、意味のある対応・対策を立案できる。
「できないけれど、やるべきこと」を「できること」に
セキュリティ対策はともすれば、ガイドラインなどの一般論に基づいて論じられがちだ。また、「チェックリストを埋め、○を付けるにはどうすればいいか」と手段と目的が逆転し、意味のない対策になってしまいがちな例も、よく目にする。
鎌田氏はここまでの説明を踏まえ、「いかに自社の状況に当てはめ、具体化して考えるか」が重要だと再度呼びかけた。
「ガイドラインやフレームワークから入っていくよりも、自社の環境や業務、システムを元に、“このシステム構成でこういった対策をしているが、抜け漏れはあるか”と具体的に考えることで、より具体的な答えが出せます。その際にはさまざまな分野の人が関わり複数の目線で議論する方が、さらによい結果が得られます」(鎌田氏)。
もちろん前提として、互いの頭の中で思い描いている概念のすりあわせは必要だ。経営とIT担当者はもちろん、IT担当者の中でも運用担当者とセキュリティ担当者の間では、具体的に指し示す状況が異なることがある。多様な意見を取り入れていくためにも、普段からコミュニケーションを円滑に取り、信頼関係を構築しておくことが重要という。
最後に同氏は、セキュリティ対策のうち、「できることだし、やるべきこと」は多くの企業が実践しているが、「やるべきではないが、できること」に時間とリソースをかけてしまっているケースが見受けられると指摘した。何より大事なのは、「できないけれど、やるべきこと」をどのように見つけ、ガイドラインの後押しや経営陣の関与も取り付けながら「できること」に変えていくことだ。「現在の、とにかくやるべきことがたくさんある中では、その見極めが重要になってくるでしょう」(鎌田氏)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- AI駆動型攻撃が現実となる時代に求められるセキュリティ対策と専門家の役割とは――名和利男氏
- 2030年問題で解決はいよいよ困難になるサプライチェーンリスクへの処方箋は――NRIセキュアテクノロジーズ 足立道拡氏
- 迷宮化するセキュリティ対策、脱出の鍵は「自分の頭で考える」こと――Armoris 鎌田敬介氏
- 10年の経験を経たRecruit-CSIRTに見る、平時とこれからのCSIRTのあり方――リクルート 鴨志田昭輝氏
- 予防は治療に勝る「プロセスのゼロトラスト化」を軸に多面的な取り組みを展開――全日本空輸 和田昭弘氏
- デジタルアイデンティティこそがデジタル覇権の行方を左右する――東京デジタルアイディアーズ崎村夏彦氏
- 経営層と現場の間に横たわるギャップ解消のために心がけたい3つのポイント ――Armoris 取締役専務 CTO 鎌田敬介氏
- 生成AIは人間の仕事を奪わない。3つの懸念点を踏まえつつ、生成AIの積極的な活用を――日本マイクロソフト 西脇資哲氏
- サイバーセキュリティだけ「特別扱い」には無理がある――経営を脅かすリスクの1つと位置付け、メリハリのある対策を
- 情報漏洩にとどまらず、ビジネスリスクの観点でのサイバー攻撃対策を実践―― サプライチェーン全体を視野に取り組む凸版印刷
- 世界は変わった? 変わらない? 変化の中で引き続き求められるバランスの取れたセキュリティ対策
- サイバーセキュリティ連盟の調査で判明――日本企業のサイバー防御力、ギャップを埋める鍵はセキュリティ意識の変革から