「ツールがあるから安全」がスキを生む?
PSN情報漏えい事件の教訓とは――マカフィーが説明会
2011/06/03
マカフィーは6月2日、「頻発する重大情報漏えい事件に学ぶ 企業を狙うサイバー攻撃の脅威と対策」と題する記者説明会を開催した。ソニーのPlayStationNetwork(PSN)で発生した大量の個人情報漏えい事件を踏まえ、企業はどういった姿勢で情報セキュリティに取り組むべきかを説明した。
マカフィー エンタープライズ営業本部 プロフェッショナルサービス シニアスペシャリストの兜森清忠氏は、ソニーの今回の事件への対応や講じたとされる対策に対し、いくつか課題が想定されると述べた。
例えば、「情報漏えいの原因が既知の脆弱性を突いた攻撃によるものだった」「不正侵入監視ではなく、サーバのリブートによって不正侵入を把握した」「これを受けて新たにCISO(Chief Information Security Officer)を設置した」といった事柄からは、「情報セキュリティのための組織や体制を構築はしていても機能していなかった、リスク分析の検討が不十分だった」など、いくつかの課題が考えられるという。
これを踏まえた「教訓」として、まず情報セキュリティのための組織体制をきちんと構築すべきと兜森氏は述べた。その上で、講じた対策が有効かどうかを確認し、改善していくことが重要だという。
「何か新しいセキュリティ対策が必要というわけではない。いままでに構築してきた情報セキュリティマネジメントシステムを、PDCAサイクルに沿っていかに運用するかがポイントだ」(同氏)。特に、脅威は常に変化するものだということを頭に入れ、マネジメントサイクルを回す必要があると述べた。
同社エンタープライズ営業本部 エンタープライズSE シニアセールスエンジニアの松田彰氏は、この10年でファイアウォールやIDS/IPSといったセキュリティ装置の導入が進んだにもかかわらず、事故、事件は後を絶たないことに触れた。その根底には「守るべきものは何か、何を守るか」が曖昧な状況があるという。「何を守るかというと『重要な情報』だ。では『重要な情報』とは何か。それを洗い出し、優先順位を付けて、守るべきところから守ることが必要だ」(同氏)。
また、さまざまなセキュリティツールや思い込みへの「依存」が、セキュリティ対策のスキを生むという。「『ツールがあるから安全だ』と依存した瞬間に隙が生まれる」(松田氏)。例えばPSNのケースでは、「『専用機器からしかアクセスできないクローズドネットワークだから大丈夫』という依存があったのではないか」(同氏)。加えて、企業においては一般に、セキュリティよりも可用性や使い勝手が優先されがちなことにも一因があるのではないかという。
日頃からの脆弱性チェックといった事前の対策に加え、被害に遭うことを前提とした対策も重要だという。例えば、攻撃者の追跡を可能にするログの保存や攻撃の早期発見、早期対応を可能にするインシデントレスポンス体制の整備、そして、日常の運用監視では手が届きにくい「不正アクセスの痕跡がないか」の定期的な調査などを行うべきだと述べている。
関連リンク
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。