「サイバー攻撃対策(1)---ポイントは多層防御、日本のお城が見本」で述べたように、サイバー攻撃対策の重要なポイントである「多層防御」は、日本の城作りを見本にすると、理解しやすい。
ポイントは4つある。(1)「縄張り」(土台固め)、(2)「石垣」、(3)「天守閣」、(4)「武者走り」だ。
設計段階から、戦いは始まっている
(1)の「縄張り」は、昔の建築用語で、要するに城の設計のことだ。昔は、地面に縄を張って城の設計をしていたのである。
例えば、姫路城の中は巨大迷路のようになっており、敵がなかなか天守閣に辿り着けないようになっていた。このように、昔の城は非常に念入りに考えられた設計になっていた。設計段階から、戦いは始まっていたのだ。
サイバー攻撃対策も同様だ。攻撃者がネットワークの中を移動できないようにしたり、外に情報が出て行かないようにしたりするためのシステム設計が、まず重要になる。サイバー攻撃対策の設計では、国内で公開されているものでは情報処理推進機構(IPA)の「『標的型メール攻撃』対策に向けたシステム設計ガイド」が参考になる。
既存の対策を見直したうえで、ツールを選定する
縄張り(設計)で土台作りができたら、次に作るべきなのは、石垣(壁)である。サイバー攻撃対策で言えば、セキュリティ製品に当たる。
とはいえ、単にセキュリティ製品を買い足せばいい、というわけではない。まずは、今、どういう対策を行っているかを見直すべきだ。Web系なら、システムライフサイクル全体で脆弱性対策がどうなっているかを見直す。ATA(標的型攻撃)対策なら、エンドポイントを起点に見直す。その上で、Webアプリケーションのサイバー攻撃対策に必要なツール、ATA対策に必要なツールを選定する。
ただし、ATA対策製品の数は非常に多い。ガートナーにも、「どこまでやればいいのか分からない」「どう選べばいいのか分からない」という問い合わせがよく来る。
ATA対策では、基本から順に積み重ねていくことが重要だ。
真っ先に取り組むべき対策は、人の対策(経営者の理解を得る、ポリシー、教育、訓練)とパッチ適用などのエンドポイント対策である。これらはお金をかけずにできる。
次に検討すべきなのが、導入しやすいファイアウォールとIPS(侵入防止システム)。ファイアウォールをリプレースするタイミングで、次世代ファイアウォールに置き換えてもいい。SEG(Secure Email Gateway)、SWG(Secure Web Gateway)も、高度な機能を備えてきているので、検討に含める。