企業のセキュリティ対策は、いくつもの階層を設けて防御力を高めるのが一般的である。本連載の第4回(現在主流のアプローチ「多層防御」を正しく理解する)で紹介した「多層防御」の考え方である。

 多層防御では、ネットワーク境界層やエンドポイント(端末)層、データ層などの様々な階層でそれぞれに適した対策を取り、全体として防御力を高めている。これらの対策は、実はそれぞれ独立しているものではなく、互いに相関関係を持っている。企業全体でセキュリティの強度を高めるには、企業内にある複数のセキュリティ対策を1つとして捉え、効果の出る組み合わせ方を考える「全体最適」が必要になってくる。

 全体最適の重要性を説明する前に、まず自社の状況を振り返ってみよう。皆さんは、自社のセキュリティ対策状況を知る立場にいるだろうか。もしそうなら、次の状況が自社に当てはまるかを考えてみてほしい。

  • 製品を選ぶ際は、「マルウエア検知率」などのベンチマーク性能や、防御機能の高さや豊富さに着目して、とにかく性能が高いものを選んでいる
  • セキュリティ対策では、各領域の担当者がそれぞれ最高の防御を構築することに集中している。パソコンの担当者はエンドポイント対策、ネットワーク担当者はファイアウォールや侵入検知対策といったように、担当分野の専門性に信頼を置き、それぞれが独立して対策を取っている
  • 新しい手口のサイバー攻撃が登場した。さっそく、その脅威に対応した製品やサービスを探してその防御に的を絞った対策を実施したので、大きなリスクは取り除けた

図1●部分最適と全体最適図
図1●部分最適と全体最適

 もし、これらに該当する状況があなたの会社にあるなら、導入されているセキュリティ対策は「部分最適」に陥っている可能性がある。

 特定の階層に着目すると確かに防御は固い。しかしシステム全体としてみるとセキュリティ対策の効力が薄くなっているのだ。セキュリティ対策に部分最適の恐れがあるなら、対策の方針そのものを見直し、全体最適の対策になるような改善を検討するべきである(図1)。