· 

「情報セキュリティ白書2021」から読む、今後のセキュリティ対策のあるべき姿とは?

松田 幸裕 記


拡大していた新型コロナウイルスの新規感染者数が、落ち着いてきました。一時期は東京で1日5,000人を超える状況でしたが、今週はその半分強というレベルに落ち着いています。

ただ、緊急事態宣言など政府や自治体の対策が功を奏したというより、感染爆発となって国民がおびえ、自ら意識し行動を控えた結果という見方の方が適切かもしれません。そう考えると、「変異株は感染力が強いから」と変異株のせいにするのではなく、私たち一人ひとりの行動や意識によって未来を変えられるということを認識することが重要ではないかと思います。

政府として適切な対策を講じるための有益なデータが収集できておらず、適切な対策が打てない今、私たち一人ひとりが意識し、行動をしていくしかないと思います。小さいかもしれませんが、各自でできることをやっていきたいですね。

本題に入ります。7月に、IPA(情報処理推進機構)より「情報セキュリティ白書2021」が公開されました。ITに携わる皆さんは多かれ少なかれセキュリティについて日々考えて活動されていると思いますが、企業IT全体におけるセキュリティを時々でも俯瞰して考えてみることは重要だと思います。本白書を中心にセキュリティ脅威の動向について簡単に触れ、企業IT全体としてのセキュリティ対策を考えてみたいと思います。

セキュリティリスク:外部からの攻撃による被害

標的型攻撃、新たなランサムウェア攻撃、ビジネスメール詐欺、DDoS攻撃、ソフトウェアの脆弱性を悪用した攻撃、ばらまき型メールによる攻撃など、手口としては定番を言ってもいいような攻撃の状況が、一通り説明されています。これらの攻撃はここ数年間でより増加しており、より高度になっているため、本当に厄介です。

より増加し、より高度になっている攻撃のパターンを理解し、発生可能性と影響度を鑑みてリスクを整理し、現状の対策と照らし合わせ、不足している部分を強化していく必要があります。本投稿では細かく説明することはしませんが、白書ではそれぞれの攻撃における手口や対策などに触れられているため、ご一読をお勧めします。

セキュリティリスク:内部の過失・故意による被害

過失やシステム不具合、内部不正などによる情報漏洩は今に始まったことではありません。過去ではインシデント数で考えると「紙の紛失」が最も多かったのが、最近では誤表示・誤送信などの方が多くなっているようです。よりITでのセキュリティ対策が重要となっていると言えますね。

内部の過失・故意による情報漏洩に厳しく対策しようとすると、利便性を著しく損ねる場合もあり、それがシャドウITなど新たなリスクを生む可能性もあります。どのように対策していくか、方針が非常に重要なものとなります。

どのように対策を行っていくかは企業によって異なるため、細かい話を書くときりがありませんよね。ここでは多くの企業に共通すると思われる、企業ITのセキュリティを強化していくためになすべきことを、いくつかピックアップして書かせていただこうと思います。

基本的な対策

最近は高度な攻撃に対策するための高度なソリューションが多く販売されています。それはそれで効果があり、検討すべきだとは思うのですが、よく見ると基本的なセキュリティ更新プログラムの適用が不十分、というようなことも散見されます。例えば、「PCにインストールされているWindowsやOffice以外のアプリケーションについては、セキュリティ更新プログラムを適用していない」、「サーバーにはあまりセキュリティ更新プログラムを適用していない」、「ネットワーク機器のファームウェアはバージョンアップしていない」など、対策が不十分な場合は多いと思います。しかし、攻撃する側はこういう穴を狙ってくるのが常です。

この辺りの企業IT全体としての考え方、仕組み、導入時のガイドラインなどを検討し、確立していくことをぜひお勧めします。

ネットワークセキュリティの思想

企業で保持している情報の機密度、セキュリティ脅威動向、セキュリティ対策技術動向、従業員の働き方などを鑑み、今後のネットワークセキュリティをどのようにしていくかを考えていく必要があります。大量の顧客情報を保持していて、それを絶対に漏洩させたくない場合、ガチガチに境界防御を施すことで守ることは比較的容易です。しかし昨今の働き方の変化なども考慮すると、ガチガチの境界防御では問題があります。なんとか境界防御の思想は維持しつつ、PCを自宅に持ち帰って業務を継続できるようにするのか、境界防御からゼロトラスト的な思想にシフトしていくのか、など方向性をしっかり検討し、その思想に合ったソリューションを適用していく必要がありますね。

データの分離

どのような思想でセキュリティ対策を行っていくかに関わらず、データの分離は必須だと思っています。すべての情報を容易に守ることができればそれに越したことはないのですが、日常業務で各種情報を利用する中で、どうしても何かしらの情報が洩れる可能性は出てきます。「この情報は絶対に漏洩させてはいけない」というものはしっかり鍵をかけて保管するなど、情報の機密度によりメリハリをつけて管理していく必要があります。各種業務システムを構築していく際、企業としてのデータ分離の指針がないと個別最適になってしまいますので、ここでも企業としての指針、ガイドラインが必須となります。

「うちの会社はガチガチの境界防御だから」ということで、企業内の各サーバーやPCに機密度の高い情報が散乱してしまっている企業もいると思いますが、そのような環境では境界防御から抜け出すのは一苦労です。今後を考え、適切なデータ整理と分離は早めに行っておくことをお勧めします。

セキュリティリスクと対策については時々でも俯瞰して眺め、全体感で方向性を適切に修正していくことが重要になります。情報セキュリティ白書など、俯瞰して考える情報をうまく活用し、対策を行っていきたいですね。