「日本の中世における築城をイメージしながら取り組むといい」。ガートナー ジャパンでセキュリティ対策のアナリストを務めるリサーチ部門 ITインフラストラクチャ&セキュリティ セキュリティ担当主席アナリスト 礒田優一氏は、企業におけるセキュリティ対策のポイントをこう語る。
城の設計作業に当たる「縄張(なわばり)」、石垣の建造、天守閣の設置、そして「武者走(むしゃばしり)」の用意。「複雑になりがちなセキュリティ対策も、築城になぞらえて考えれば的確に進められる」と礒田氏は言う。
2013年に入ってから、政府機関や大手企業を狙ったサイバー攻撃が急増している。この状況は、一般企業にどんな影響を与えているか。
2013年の前半だけを見ても、いろいろな事件や事故、インシデントが起きている。3月に起きた韓国の主要放送局や金融機関におけるサイバー攻撃、4月から5月にかけて国内のWebサービスに対して行われたアカウントリスト攻撃などが代表的だ(関連記事:韓国激震、サイバー攻撃が同時多発、関連記事:Yahoo!に続き三越も攻撃、不正ログインにサイト運営者はどう対抗する)。
攻撃の数が増えている上に、新しいタイプの攻撃が次々と見つかっている。これらの攻撃に対して、多くの企業は対策を強化しなければいけないと感じている。
そのような強い意識を持っているものの、どのように手を付ければいいか悩み、迷っている企業も少なくない。ITベンダーが投入するセキュリティ対策製品の多様化や進化も相まって、課題がうまく整理できず混乱している企業も見受けられる。
築城になぞらえて対策を実施
そのような中、企業としてはセキュリティ対策をどうとらえ、何から手を付ければいいか。
最近は多層防御の重要性が叫ばれている。これは攻撃が巧妙化していることを踏まえて、情報システムの開発プロセスや運用面など、情報システムの幅広い側面から多層的にセキュリティ対策に取り組むことを指す。
しかし多層防御といってもいろいろなとらえ方があり、さらなる混乱を来しかねない。そこでガートナーとしては、多層防御の考え方や構造を中世日本の築城に見立てて整理すれば、戦略的にセキュリティ対策が推進できるとアドバイスしている。
構造を整理した上で、戦略的に対策を打っておけば、悪意のある第三者からの攻撃の中身が変化したとしても、またセキュリティ技術が変化したとしても、柔軟に対応できる。これにより、リスクをコントロールしながらビジネスを推進できる。
多層防御型のセキュリティ対策は、日本の築城になぞらえると次の4つの観点から捉えられる。「縄張」「石垣」「天守閣」「武者走」だ。
中世日本の武士たちは、城の守りを強固にするべく、築城に際しての基本設計プロセスを重視していた。この基本設計作業を「縄張」と呼ぶ。縄張でまず重要なのは、経営者と対話することだ。経営者は最近の激しいサイバー攻撃とその被害に関するニュースを目にして、「自社は大丈夫か」と不安を募らせている。
だからこそ、IT部門の出番だ。経営者に企業をめぐるセキュリティ対策の現状を的確に伝えつつ、どんな考え方でセキュリティ対策を進めればいいかをきちんと説明するのである。
