ビジネスお役立ち情報 > 企業のITセキュリティ講座 > 中堅・中小企業のセキュリティ対策はどこから始める? セキュリティエバンジェリスト・辻 伸弘氏インタビュー

企業のITセキュリティ講座企業のITセキュリティ講座

企業のITセキュリティ講座のトップへ

中堅・中小企業のセキュリティ対策はどこから始める? セキュリティエバンジェリスト・辻 伸弘氏インタビュー

予算の限られた中堅・中小企業では、どこからセキュリティ対策を始めるべきだろうか? セキュリティ対策セミナーなどで活躍するソフトバンク・テクノロジー株式会社の辻伸弘氏にお話を伺った。

脅威からの対策では駄目。「どこにある何を守りたいか」をハッキリさせて優先順位をつける

ソフトバンク・テクノロジーの辻伸弘氏顔写真

ソフトバンク・テクノロジーの辻伸弘氏

三上「辻さんはセキュリティのセミナーを多数やっていらっしゃいます。参加されている企業の方は、どんなことを気にしているのでしょうか?」

辻「情報漏えいなどの事件が多発していることもあって、セミナーには多くの方に参加いただいています。そこでよく聞くのは、事件を基に『うち(の会社)は大丈夫か?』という声です。心配なのは分かるんですが、企業の偉い方が『うちは大丈夫か?』と現場に丸投げをしたかのような抽象的な発言を行う時点で心もとない状態です。自社の情報システムの現状を知らない、セキュリティ対策で何ができていて、何ができていないのかの判断ができていないからです」

三上「ということは、自社の現状の把握が出発点でしょうか?」

辻「セキュリティ対策のスタートは、現状の把握からです。少なくとも『今、何をやっているのか』を知っておくことです。例えば、ウイルス対策ソフトを入れているだけ、ということでもいいので自社の状況を把握することが起点です。そのうえで、私が最初に問い掛けるのは『どこにある、何を守りたいのか?』ということです」

三上「どこにある、何を守りたいのか?とは、どういう意味ですか?」

辻「守るべき対象をハッキリせよ、ということですね。ニュースではたくさん事件が報道されています。標的型攻撃、DDoS、SQLインジェクション、その脅威の全てに対応しようと思うと、お金も人も時間も足りません。あれもこれもやりたいとなって見積もりを取ると、巨額なお金が必要となって、これは無理だと対策を放棄して結局ゼロになってしまう。100%かゼロかでは駄目で、自分の資産が何か考えて対策を始めることです」

三上「脅威への対策から始めるのでは駄目なのですね?」

辻「自分が守りたいものが、どの脅威にさらされているのか知り、優先順位をつけることから始めます。例えばWebサイトで言えば、Eコマースのように売り上げに直結するようなサイトであれば、絶対にダウンさせられない。その場合は、DDoS対策は価値があります。しかしWebサイトは単なる会社概要だ、という場合は、DDoS対策として1カ月に50万円も100万円もかけるのは費用対効果に合わないでしょう。このように自分たちが守りたいものは何かをハッキリさせて対策を考えていくのがベストです」

セキュリティは経営リスク。経営者はお客様を守るためにセキュリティの戦略を立てること

辻「次に大事なキーワードは『あきらめる』です」

三上「えっ? あきらめちゃうんですか?」

辻「あきらめる、と言うと皆さん『えっ?』という顔をするんですが、本来の意味は違うんですよ。仏教用語から来ているんですが『あきらめる』は、真理を悟る、明らかにするという意味。『あきらめる』と言うとぽいっと捨てちゃうようなイメージがありますが、そうではなく、必死に考えて、試行錯誤をし、これ以上無理ってところまでやること。できる限りのことをやってあきらめる、ということです。そういったことを踏まえて今できうる限りのことを行って、完璧でなくてもより良いセキュリティを実現していくサイクルを回していくことが大切です」

三上「できる限りのことをしなさい、それが『あきらめる』なんですね」

辻「はい。100%の防御はあり得ないのです。できる限りのことをやって、少しでも事故の確率を下げることです。これは多層防御の考え方にも通じます。多層防御はもともとは軍事用語で、いくつものとりでを造って、少しでも実被害を減らそうという考え方です。いくつものとりでで敵を減らしていき、本当に守りたいものの直前で全滅させるという戦術です」

図1

標的型攻撃の段階を表した図(辻伸弘氏作成 出典:IPA「『高度標的型攻撃』対策に向けたシステム設計ガイド」)

標的型攻撃の段階(辻伸弘氏作成 出典:IPA「『高度標的型攻撃』対策に向けたシステム設計ガイド」)

標的型攻撃の段階(IPA「『高度標的型攻撃』対策に向けたシステム設計ガイド」辻伸弘氏作成)
https://www.ipa.go.jp/security/vuln/newattack.html

三上「多層防御の具体的な方法は?」

辻「例えば、お客様の情報が一番大切だとします。その場合、標的型メール対策を行うとして、段階があるんですね(図1)。初期潜入段階であれば、ゲートウェイでの対策、エンドポイントでの対策がポイントになります。例えば公開メールアドレスで標的型メールの対策では、入り口の他にエンドポイントでの対策が必要ですが、メールを受信するパソコンは、ソフトウェア制限ポリシーで起動できるアプリケーションを制限したり、アクティブディレクトリーに参加させないというのも有効です。極端な話、Macにしてもいいと思うんです。一般業務はWindowsで行うとしても、攻撃されやすい公開メールアドレスを受信するマシンは、Macにして感染の確率を下げるのは一つの対策です。もちろん、業務上の兼ね合いを考慮して実施するしないの判断は必須です。
次の基盤構築段階では、外部通信制御(ファイアウォール、プロキシ)、アカウント管理、ネットワーク監視をちゃんとしましょうといった対策が欠かせません。
内部侵入・調査段階では、内部通信制御・脆弱性対策・各種ログの管理・監査。目的遂行段階では、ファイルの配置・深度、そして重要情報の暗号化が必要です」

三上「やることはいっぱいありますね」

辻「一気に全部やるのは難しいですね。できることからやっていきましょう。最低限必要なのは、入り口対策です。ゲートウェイ、エンドポイントでの対策、今まで当たり前にやれと言われてきたことです。端末でウイルス対策ソフトがちゃんと動いているか、またサンドボックスが有効か、エンドポイントのWindows OSであればEMET(注)の導入の検討とか。EMETは脆弱性対策としてかなり有効だと実感しています。余談ですが最近話題になっていたFlash Playerの脆弱性もこちらでブロックできました」

注:EMET=マイクロソフトの脆弱性緩和ツール

三上「どこまでセキュリティ対策をやるか、というのは誰が判断すべきですか?」

辻「まずは経営者でしょう。セキュリティは経営リスクなんですね。セキュリティ被害は、会社の信用・信頼を失うことになるからです」

三上「経営者は、セキュリティ知識をどこまで持つ必要があるでしょうか?」

辻「技術的にどうするか、という戦術までは不要でしょう。しかし戦略は必要です。戦略を立てられるだけの知識は持つべきです。現場の声を理解し、最終的にはお客様を守ることが会社の生命線ですから、そのためのセキュリティ戦略は立てておくべきです」

三上「セキュリティ自体が売り上げに直結しないので、経営者としては取り組みが難しいでしょうね?」

辻「『うちはセキュリティ対策をこれだけやっています。だから安心して使ってください』ということをどんどんPRしていくべきだと思います。これだけセキュリティのトラブルが起きている時代ですから、安全は重要なアピールポイントです。例えばマンション販売であれば、オートロックがあれば安全なので購入者が増える。これと同じように、うちはWAFが入っています、IPSが入っていますとアピールして、差別化を図る要因にしていくべきです」

社員教育はどうするべきか?

三上「社員教育はどうするべきでしょうか? 例えば最近では、標的型攻撃メールの訓練が重要だと言われています」

辻「標的型メールの対応訓練が1カ月待ちとかもあるようですね。多くの訓練では標的型メールの添付ファイルの開封率、URLのクリック率を下げることが目的になっています。しかし開封率・クリック率だけを考えてはいけないんです。例えば開封率が10%なのか、1%なのか、当然1%の方がいいとなりますが、その数字ではなくて中身を見るべきです」

図2

標的型メールの非開封率とリスクを表したグラフ(辻伸弘氏作成)

標的型メール対応訓練での「非開封率」と「残存リスク」。非開封率を99%まで下げたとしても、残りの1%が開封するなら、感染のリスクがある。開封率ばかりにこだわった訓練は意味がないのではないか。(辻伸弘氏作成)

三上「中身とはどういう意味ですか?」

辻「例えば開封率がとても低い1%だったとしても、それがシステム管理者や役員などの重要な人物である場合、逆にリスクは高いのです。0人にするのが理想ですが、それは不可能。1%でもある場合、リスクは残り続けるんですね。訓練して開封率を下げようというのは、考え方が違うと思っています。
例えば火災訓練を例に取ると、火災訓練は火を出さない訓練ではありません。火災が起きたときに慌てない、逃げるルートを確認するためです。これと同じで標的型メールでも、メールが来た時にどういうアクションを取るのか、開封してしまった場合に誰に報告するのか、といった慣れを持つために訓練を行うべきです」

三上「社員へのセキュリティ教育は何からやるべきですか?」

辻「まずは『あなたたちを守るためにやっている』ということを意識させることですね。ルールとして『これをやるな』ではなく、理由を頭に入れさせることが大切です。例えばパスワードの管理であれば、長くするのはなぜか、使い回しては駄目なのはどうしてか、ということを周知させるのです。
私のセミナーでは、攻撃者の立場に立って、実際の攻撃を見てもらいます。脆弱性のデモ、フィッシングサイトのデモなどです。実際に自分に振り掛かってくる被害を見せて、それで体験してもらうのです」

三上「そこまで自社でやるのは難しくないでしょうか?」

辻「難しければ、専門家を呼んで話をしてもらうのがいいかもしれません。またシステム管理者の方は、Twitterやブログなどで情報発信している専門家の方を把握し、情勢判断の参考にするといいと思います。業者の話を聞いてもいいのですが、複数の業者の話を聞いて判断するべきかと思います。
やるべき基本的なセキュリティ対策は変わっていないんです。ただ業態や会社の規模によって、何を優先すべきかは変わってくる。自社のシステムを理解して優先する対策を判断する、そして外部の専門家にも話を聞くことの両方が必要です」

このように辻氏は「自社の状況をよく把握して、一つずつ対策を積み重ねていくこと」が重要だと述べた。ニュースに出てくる脅威に右往左往するのではなく、自分の会社で「どこにある何を守るべきか」ということをハッキリさせて、セキュリティ対策を進めていきたい。

テキスト/ITジャーナリスト・三上洋

企業のITセキュリティ講座