そもそもサイバーセキュリティってなに?~よく理解せずに製品を導入しないために~

blog

こちらの記事に目を止められた方は、サイバーセキュリティについて対応をしないといけないって巷では言うし、攻撃されて問題が発生したとニュースで聞くから、何かやらないといけないと思いつつ、何から手を付けていいかわからず、出入り業者に相談したら、出入り業者もよくわからず、製品のウェビナーに参加しても、自社製品がいかに優れているかの説明はしてくれるが、そもそも全体像がどうなっているかとか、どこを重要視するべきなのかとかについては、全く言及されないようなウェビナーばかりで、一向に検討が進まないという状況の方かと思います。今回は、セキュリティの素人が、何から知見を得て、社内の体制整備や製品導入について対応していくかについての一つの取り組み方について提起する機会としたいと思います。

まず、第一に脅威をもたらす側は犯罪者であるということを忘れてはなりません。なぜかというと鍵がかかっていない家に侵入してものを盗むことを考えるとわかりやすいのですが、鍵のかかっているいないに関わらず、他人の所有物を勝手に盗むのは盗難ですし、持主の許可なく家に入るのは不法侵入罪です。

いっぽうで、仮にある家の庭に百万円が落ちていて、手を伸ばせば拾えそうであるようなシチュエーションであれば、その人の財政状況によっては、つい手を伸ばしてしまうでしょう。なので、手を伸ばしても届かないか、ちゃんと百万円は家の中の然るべき見えないところに保管しておくべきです。

つまり、脅威をもたらす側が積極的に盗難および不法侵入を実施する目的は、実際の企業への影響ともいえますが、業務を遂行するためのシステムが動かくなくなったり、また、業務遂行のために利用される情報が何らかの形で利用できなくなったり、重要な情報を盗難されたりすることになると思われ、結果として、企業側の機会損失などへの対価の要請か、盗難した情報に値する対価の支払いとなると思います。

さて、政府が主導するサイバーセキュリティについての啓蒙活動はハイレベルから庶民レベルまで実施されていると思いますが、手っ取り早く知見を獲得する手段として、情報処理推進機構の「中小企業の情報セキュリティ対策ガイドライン」が比較的、平易で実践的な内容を含んでおり、サイバーセキュリティにおける脅威についての理解と、その対策をどうするかについてのスタート地点とできるのではないかと思います。

脅威は上記の図を前提として下記の6つおよび17項目に分類することができます。必ずしもすべてが必要なわけではなく、各社の状況によって、どの部分の対応が重要なのかを確認しつつ進めていく必要があると思います。

大項目 小項目
①ネットワーク脅威対策 ファイアウォール
IDS(IntrusionDetectionSystem): 侵入検知システム
IPS(IntrusionPreventionSystem): 侵入防御システム
WAF(WebApplicationFirwall)
VPN(VirtualPrivateNetwork)
②コンテンツセキュリティ対策 ウィルス対策
メールフィルタリング
URLフィルタリング
③アクセス管理 アクセス制御
多要素認証
特権ID管理
④システムセキュリティ管理 IT資産管理
脆弱性検査
ログ管理
⑤暗号化 データ暗号化
TLS (TransportLayerSecurity) またはSSL(SecureSocketsLayer)
⑥情報資産管理 不要データの破棄

(引用:情報処理推進機構の「中小企業の情報セキュリティ対策ガイドライン」P40-43)

家への盗難行為と比較しつつ、上記の脅威を整理すると、理解しやすいかもしれません。

ドアや壁は頑強なものとして、そのドアには破られづらい鍵をつけて、鍵を渡す相手もしっかり限定する。家の中には盗まれると困るものはなるべく置かず、盗まれてもそう簡単に市場で換金できない形にしておく。

監視カメラをつけて、事前に盗みに入ろうとしているような人がアプローチしているような動きを探り、家の周りの柵もより強固なものとする。門から入口までの間は限られた人しか入れないような専門の通路を用意する。

そして、常に上記の設えに壊れているところがないか点検する。点検項目についてはリスト化し、チェックが漏れないようにする。犯罪者の侵入方法については、常に最新の手法を警察などから情報収集し、常に意識して対応する。

書いていると普通の家で、ここまでする必要があるのかとか考えてしまいましたが、盗人たちはお金になるのであれば、相手がどう思うかに関係なく、チャンスを伺っていますから、油断は禁物というところです。

ぜひ、サイバーセキュリティについてなるべく理解を進め、何をするべきかについてシンプルに考えよく検討する機会問いしていただければと思います。弊社はサイバーセキュリティについてのコンサルティングサービスを行っておりますので、何かご不明な点がございましたら、ご連絡いただければと思います。

blog

Posted by Tomozo