「うちのセキュリティ対策は大丈夫か」──。多くの経営層が抱く「素朴な疑問」に対して、納得してもらえる回答を返すのは至難の業と言える。また現在では、インターネットを経由するサイバー攻撃への対策が注目されていることもあり、「端末からのインターネット通信切断」や「ファイル暗号化」といったソリューションを検討する機会も増えている。ただしアプローチを誤ると、適切なセキュリティ対策にならないことがある。今回は、こういった課題に関する3つのケーススタディーから対応を考えていく。

交渉事のように対策を順次説明

 最近ではありがちな経営層とセキュリティ担当者の会話を見てほしい。

経営層:特定の企業を狙ったサイバー攻撃があるそうじゃないか。最近よく聞く標的型攻撃というのはそれか?

セキュリティ担当者:はい、その通りです。従来型の攻撃とは異なり、防御がこれまで以上に困難になります。また、未知のウイルスが攻撃に使用されることも多く、注意が必要です。

経営層:うちは標的型攻撃に対しては適切な防御ができる状態になっているのかね?

セキュリティ担当者:既に標的型攻撃対策の装置を導入しています。また、未知のウイルスも検査対象となるウイルス対策ソフトを導入しています。

経営層:しかしすべてを防げるという保証はないのだろう。もし対策をすり抜けてしまったらどうするんだ?

セキュリティ担当者:(よくぞ聞いてくれたと意気込んで)はい、その通りです。ぜひ説明させてください!

 大規模な情報漏洩事件が起こるたびに、新聞などでサイバーセキュリティ対策の重要性が説かれることから、最近ではそれほどITに明るくない経営層の意識も高くなってきた。特に標的型攻撃はサイバー攻撃の流行のキーワードとしてよく耳にするため、上記のような会話がよく聞かれるようになった。経営層の「万が一、その対策で止められなかったらどうなるのか?」という問いは至極まっとうなものだ。

 経営層のこうした疑問に答えるために、「多層防御」のコンセプトを理解してもらい、BATNAを考慮したコミュニケーションを取る必要がある。

BATNA▼
Best Altenative to a Negotiated Agreement。意訳すると「交渉が決裂した時の最も良い対処策の案」となる。一つの案だけでなく、代替案も用意して、交渉に臨むこと。

 多層防御とは、一つの層ではなく、複数の層で幾重にもセキュリティ対策を施すことで、防御力を高める手法のことである(図1)。例えばウイルス対策なら、クライアントのエンドポイントにウイルス対策ソフトを導入してそれで終わりとするのではなく、サーバー、エンドポイント、データといった各層でセキュリティ対策を実施する。

図1●多層防御の考え方
図1●多層防御の考え方
セキュリティ担当者は経営層に対して、「もし対策1が破られたとしても対策2が、対策2が破られたとしても対策3があります」という具合に会話においても多層で話すことができる。
[画像のクリックで拡大表示]