Tweet

「ツールがあるから安全」がスキを生む？

PSN情報漏えい事件の教訓とは――マカフィーが説明会

2011/06/03

　マカフィーは6月2日、「頻発する重大情報漏えい事件に学ぶ 企業を狙うサイバー攻撃の脅威と対策」と題する記者説明会を開催した。ソニーのPlayStationNetwork（PSN）で発生した大量の個人情報漏えい事件を踏まえ、企業はどういった姿勢で情報セキュリティに取り組むべきかを説明した。

　マカフィー エンタープライズ営業本部 プロフェッショナルサービス シニアスペシャリストの兜森清忠氏は、ソニーの今回の事件への対応や講じたとされる対策に対し、いくつか課題が想定されると述べた。

　例えば、「情報漏えいの原因が既知の脆弱性を突いた攻撃によるものだった」「不正侵入監視ではなく、サーバのリブートによって不正侵入を把握した」「これを受けて新たにCISO（Chief Information Security Officer）を設置した」といった事柄からは、「情報セキュリティのための組織や体制を構築はしていても機能していなかった、リスク分析の検討が不十分だった」など、いくつかの課題が考えられるという。

　これを踏まえた「教訓」として、まず情報セキュリティのための組織体制をきちんと構築すべきと兜森氏は述べた。その上で、講じた対策が有効かどうかを確認し、改善していくことが重要だという。

　「何か新しいセキュリティ対策が必要というわけではない。いままでに構築してきた情報セキュリティマネジメントシステムを、PDCAサイクルに沿っていかに運用するかがポイントだ」（同氏）。特に、脅威は常に変化するものだということを頭に入れ、マネジメントサイクルを回す必要があると述べた。

　同社エンタープライズ営業本部 エンタープライズSE シニアセールスエンジニアの松田彰氏は、この10年でファイアウォールやIDS／IPSといったセキュリティ装置の導入が進んだにもかかわらず、事故、事件は後を絶たないことに触れた。その根底には「守るべきものは何か、何を守るか」が曖昧な状況があるという。「何を守るかというと『重要な情報』だ。では『重要な情報』とは何か。それを洗い出し、優先順位を付けて、守るべきところから守ることが必要だ」（同氏）。

　また、さまざまなセキュリティツールや思い込みへの「依存」が、セキュリティ対策のスキを生むという。「『ツールがあるから安全だ』と依存した瞬間に隙が生まれる」（松田氏）。例えばPSNのケースでは、「『専用機器からしかアクセスできないクローズドネットワークだから大丈夫』という依存があったのではないか」（同氏）。加えて、企業においては一般に、セキュリティよりも可用性や使い勝手が優先されがちなことにも一因があるのではないかという。

　日頃からの脆弱性チェックといった事前の対策に加え、被害に遭うことを前提とした対策も重要だという。例えば、攻撃者の追跡を可能にするログの保存や攻撃の早期発見、早期対応を可能にするインシデントレスポンス体制の整備、そして、日常の運用監視では手が届きにくい「不正アクセスの痕跡がないか」の定期的な調査などを行うべきだと述べている。