セキュリティ対策と言えば、「サイバー攻撃をいかに防ぐか」という防御方法がまず思い浮かぶかもしれない。ただし高度化する最近のサイバー攻撃に対して、防御方法を充実させるだけの取り組みでは、十分とは言えない。では、どうすれば効果的なセキュリティ対策を講じられるのか。今回は5つのケーススタディーで見ていこう。
「0」か「100」という考えに陥りがち
最初に紹介するのは、経営層とセキュリティ担当者の間で交わされがちな、次のような会話だ。
経営層:企業がサイバー攻撃を受けると、株価が大幅に下落して数百億円の時価総額が吹っ飛んだり、経営陣が退任したりするケースが散見されるね。
セキュリティ担当者:最近は、株主も企業から情報が漏洩すると株価が下がることを知っています。セキュリティの事故が経営へのダメージに直結するケースも増えてきました。
経営層:ところでうちのセキュリティ対策は大丈夫かね。すべてのサイバー攻撃を完全に防いで、絶対に侵入できないような対策を頼むよ。
このように、「サイバー攻撃からのダメージをゼロにするセキュリティ対策」を目指す企業は珍しくない。しかし、ますます狡猾になっていくサイバー攻撃に対して、ダメージをゼロにする対策をひたすら追求することは、正しい目標と言えるのだろうか。
先の会話を振り返ってみよう。セキュリティ対策ではよく、ダメージを「0」か「100」で考えがちだ。セキュリティ対策がしっかりとできていれば「ダメージは0」、逆に対策むなしくサイバー攻撃を受けてしまったら「ダメージは100」という考え方だ。
ただし「すべてのサイバー攻撃を完全にシャットアウトする」という前提に立つと、防ぐことができなかった場合を想定せず、対策も講じないということがある。これでは、サイバー攻撃がシャットアウトできなかった時の被害が甚大になってしまう。
効果的なセキュリティ対策を講じたいなら、「すべての攻撃をシャットアウトすることはできない」という前提に立って考えてほしい。ダメージ0は無理だとしても、ダメージ5やダメージ10といった経営に支障がないレベルにまでリスクを下げた提案をする。このような“折衷案”なら経営層に伝わりやすい。
その際、次に紹介する▼4つのフェーズによるセキュリティ対策が参考になるだろう(図1)。攻撃者側から見ると、この4つのフェーズによる対策が施されたシステムは「攻撃が成功しづらく、仮に成功してもすぐに検知されてしまう。リターンも少ない。さらに、せっかくファイルを盗んでも暗号化されていて読めない」となるからだ。
NIST SP 800-61 を参考に筆者がアレンジした。
「すべてのサイバー攻撃を完全にシャットアウトする」ことにとらわれると、最初の1フェーズ(準備フェーズ)のみ考えて、それでおしまいとなる。そうではなく、4つのフェーズで考えれば、段階的なリスク低減策にたどり着ける。特に、最後の2つのフェーズ「被害を軽減」「ファイルを暗号化」は重要だ。この2つのフェーズの対策状況によって、サイバー攻撃を受けた場合の被害状況が大きく変わってくる。これまで防御のことばかり考えていたなら、ぜひアプローチを変えてほしい。
なお、前回の連載では「▼多層防御をBATNAの観点で解説する」ことの重要性について解説した。この4フェーズの考え方もアプローチとしてはよく似ており、BATNAの観点で解説することで、経営層に対する説得力を増すことができるだろう。
BATNA はBest Alternative to a Negotiated Agreementの略。意訳すると「交渉が決裂した時の最も良い対処策の案」となる。一つの案だけでなく、代替案も用意して、交渉に臨むこと。
