最終更新日時:Mon, 27 Mar 2023 15:00:00 JST
新たに、Rapid7 Japan CTO の古川勝也によるブログシリーズを開始します。第一弾となる今回は、セキュリティ運用に関してPart1, 2の二部構成でお送りします。
セキュリティ対策は終わることのない「運用」です。セキュリティ対策の目的は「業務を止めない」ことです。多岐に渡る対策タスクと外部の雑音に追われ、このような本質的なことから乖離した対策を採用しても意味がありません。
本ブログでは、セキュリティ対策の本質に立ち帰り、それぞれの対策の成熟段階に応じて何をすべきかを、Part.1, 2 に分けて整理していきます。
お���様との対話の中で、よく聞かれる疑問は「セキュリティ対策は何をどこまでやればいいのか」ということです。皆様が疑問に思い悩まれる理由は、様々あります。1つ目は、立場の違いによる「視点の違い」です。それぞれのお立場により、責務や責任範囲も違うため、直面している課題が違うということから、直近の優先度も違うというケースです。2つ目は、情報過多による「何をすべきか混乱している」状況です。サイバーセキュリティが注目を集め、サイバー侵害や事故のニュースが明らかになるたびに、様々なベンダーや社内の意見として新たな対策が提案されてくることでしょう。しかし、限られた予算と日々の作業に追われるIT担当者はこれらの板挟みとなっています。
様々な立場がありますが、なぜセキュリティ対策を行うのかという根本に立ち返れば、そもそもの目的は、「業務を止めない」ということに帰結します。ITを活用してビジネスを成功させ、利益を得るために必要な投資を行うこと。その中の投資の一部としてセキュリティ対策があります。セキュリティの機能を導入することがセキュリティ対策の目的ではありません。
また、セキュリティ対策は一過性の作業ではありません。残念ながら現状のIT環境ではサイバー侵害との戦いは終わることはありません。つまり、セキュリティ対策は「終わらない戦い」であり「継続的な運用」が必要な作業であることを意味しています。継続的にセキュリティ運用を行うには、一過性ではなく破綻しない、つまり無理の無い運用体制を構築することが必要となります。
セキュリティ対策を考えるにあたって、見落としがちな視点をいくつか挙げていきます。1つ目は、セキュリティ対策は「テクノロジー」だけでは成り立たないということです。「人」と「プロセス」が加わって初めて有効なセキュリティ対策となります。
二つ目は、「変化する対策」と「変化しない対策」があるということです。
外的および内的要因の変化に伴って変化させるべき対策は、組織がセキュリティ対策コストとして妥当であると設定した予算に応じて増減させることができる対策です。一方、組織がセキュリティ対策を実施するにあたって変化しない対策があります。これが「継続的な運用」を実施する一連の作業に関わるコストになります。個別のセキュリティ対策に注視するあまり、本来必要な継続的な運用に関わる対策が不備では意味がありません。
三つ目は、「見ていないモノは、守ることが出来ない」という原則を再度確認すべきという点です。昨今のセキュリティ侵害事故の例を見れば明らかなように、攻撃者は対策が強固なシステムを正面突破するようなことはしません。システムの中で、侵入が容易で、気付かれにくい箇所を好んで侵害を行います。例えば、海外の支社や拠点、サプライチェーン等を経由するケースがあります。このような組織的なサイロ化が引き起こす課題以外にも、システムや運用の抜け漏れも注視すべきポイントになります。
これらの見落としがちな視点を考慮しながらセキュリティ対策を整理し、見直すことで、コストであるセキュリティ対策をより効果的に実施することができます。
この章では、セキュリティ対策の目的である「業務を止めない」ために、継続的なセキュリティ対策の運用が必要であり、有効なセキュリティ実装のために見落としがちな3つの視点について解説しました。