メニュー
おすすめコラム

2019年2月19日
常識を疑え!ハッカー視点のセキュリティ
筆者)株式会社トライコーダ 上野宣

第12回 セキュリティ対策ソリューションに対する「審美眼」を身につけろ

「審美眼」は主にアートの世界で使われる言葉で「美を識別する能力」と言われています。美術品が本物か偽物かを見極めたり、他人の評価に惑わされずにモノの善し悪しを判断することができます。
セキュリティ対策ソリューションにも審美眼が必要です。セキュリティ対策の中には他の人が良いと言っているからといって、貴社にとっては役に立たないものや、現状で導入しても仕方がないものもあります。また、残念ながら品質が低い粗悪なモノもあるため、それを見極めるためには芸術作品を見極めるのと同様の審美眼的な能力が必要になります。
セキュリティ事業者やその営業担当は、貴社に一番必要なセキュリティ対策を売ってくれるとは限りません。今こそ審美眼を身につけて、要不要や真贋を自らの力で見極めましょう。

流行り物に惑わされるな

日々何らかのサイバー攻撃による事件が発生していて、その事例には事欠きません。そういった事例の脅威を過度に煽ることによって製品を売り込まれる「ホラー営業」を見かけることがあります。
「ホラー営業」は顧客の恐怖感を煽ってセキュリティ製品などを売りつけるタイプの営業手法を指していて、10年以上前からその呼び名を耳にしたことがあります。標的型攻撃が流行れば出口対策ソリューション、ランサムウェアが世間を賑わせればランサムウェア対策ソリューションといったように、「今は○○が流行ってるので、その対策が必要ですよ」と売りつける営業スタイルです。

もちろん、流行りの攻撃に対応することは重要です。流行っているということは、自分たちのところも攻撃に曝される可能性も高いわけなので、対策を何もしないという訳にはいきません。しかし、すべてのセキュリティに効く銀の弾丸的な対策が存在するわけはないので、その対策が現段階で貴社にとって必要になるのか、その攻撃を本質的に止められる対策として機能するのかといったことを見極める必要があります。

まだそれが必要な段階ではないかもしれない

「サイバーレンジ」と呼ばれる仮想的な会社を想定したネットワークシステム環境を構築し、その環境を使ってサイバー攻撃を攻撃者の立場で実践したり、防御したり検証したりといったことを実践するトレーニングが流行っています。
筆者も東京オリンピック・パラリンピック競技大会組織委員会向けのサイバーレンジである「サイバーコロッセオ」というトレーニングの構築に携わっていて、また「Hardening Project」というサイバーレンジを使った競技にも2012年から携わっています。
サイバーレンジはサイバー攻撃を演習中に受けるという普段体験できない環境の中で、インシデント・レスポンスを短期間に体験したり、攻撃の真っ最中に対策を試行錯誤したりすることができるというものです。貴社の中にインシデントに対応するCSIRTのような組織を持っているのであれば、非常に効果的なトレーニングとなります。もちろん、システムの運用担当者や開発者などが受講しても良い効果があります。
しかし、サイバーレンジはある程度訓練を積んできた人に向けた実践演習環境なので、まったく訓練を積まずにいきなり実践しても無駄になってしまうことになるかもしれません。

「ペネトレーションテスト」も同様です。実際の組織のネットワークに侵入するテストであるペネトレーションテストは、金融庁が「脅威ベースのペネトレーションテスト(TLPT)」に関連した報告書を公開してから、弊社でも要望が聞くことが増えてきました。
しかし、組織のセキュリティ対策レベルが低い会社がペネトレーションテストを受けても、容易にシステムが完全に乗っ取られ、機密情報が奪取されることが実施前から予想できてしまいます。何が問題だったのかすら、明確に判断できない可能性も高いでしょう。
セキュリティ対策にある程度自信のある会社が受ける方が、その問題点や対策の不備などを効率的にあぶり出すことができます。

いま、貴社に取って必要なのかを今一度見極める必要があります。最適なタイミングで導入する方が費用対効果も良くなります。

品質の善し悪しを見極めろ

セキュリティのサービスとしてすでにメジャーになったとも言えるフォレンジックや脆弱性診断、セキュリティ監視サービスなどは、企業などにとって欠かすことができないサービスです。しかし、これらのサービスには品質の善し悪しがあり、それを見極めるのは容易ではありません。
脆弱性診断ではサービスメニューを見ると「SQLインジェクション」「クロスサイトスクリプティング」などの項目が並んでいるのは、どこのサービス事業者も同じです。しかし、A社は熟練の担当者によって多くの脆弱性を発見して報告をしているけど、B社は機械的にツールを回して見つかった脆弱性だけを報告しているだけかもしれません。当然、B社の診断を受けても多くの脆弱性が残ったままの可能性があります。

自分たち自身で品質が見極められない限り、せっかく脆弱性診断を受けていても脆弱性がなくなることはありません。他にもフォレンジックでは証拠が見逃されてしまう可能性がありますし、監視サービスでは攻撃を見逃してしまう可能性があります。

歴史や背景を知ることで審美眼が磨かれる

「美」はセンスだという考えもあるかと思いますが、アートの世界の審美眼を養うには、たくさんの芸術作品を鑑賞したりするだけではなく、その作品が登場した歴史的な背景や宗教的な背景を学んだり、当時の技術や文化などを知ることで理解できることもあるそうです。

歴史の流れの中で必然的に生まれてきた芸術作品があるように、セキュリティ対策ソリューションもサイバー攻撃の歴史の中で必然的に生まれたものが多くあります。サイバー攻撃や対策の裏にある背景や技術などを知ることによって、セキュリティ対策ソリューションの審美眼も磨かれることでしょう。
買い手も売り手の言いなりにならずに、そのセキュリティ対策が必要か否か、品質は良いのか悪いのかを見極めるための目を養う必要があります。

Copyright © NEC Fielding, Ltd, 2019. All rights reserved.