高度化を続けるサイバー攻撃に対応するため、企業の情報システムではセキュリティ対策のエンハンスメント(追加・拡張)を継続的に実施する。ただ、行き当たりばったりのエンハンスメントだと、追加・拡張した機能が「情報セキュリティ負債」に変化する。これは企業の情報セキュリティ対策に悪影響を及ぼす。
- セキュリティ対策の導入スピードを優先させると、重複したり形骸化したりした対策である「情報セキュリティ負債」が増える
- 情報セキュリティ負債はセキュリティ対策の維持コストの増加、セキュリティ対策の品質低下、軌道修正コストの増加といった悪影響を及ぼす
- 追加・拡張時に情報セキュリティ負債を返済したり、情報セキュリティ負債が増えにくくしたりする工夫が求められる
この連載では「標的型攻撃」「ランサムウエア」「内部不正」「Webサイトへの攻撃」「IoTシステムの攻撃」といった重要な5つの脅威と、それに対応する上流工程で実施するセキュリティ設計を解説してきました。セキュリティ対策は一度設計・実装して終わりではありません。脅威は高度化、複雑化を続けており、求められる対策は時とともに変わります。セキュリティ対策の追加や拡張(エンハンスメント)の継続的な実施が求められますが、そこには落とし穴があります。
システム開発の世界では「技術的負債」という言葉があります。ソフトウエア開発のスピードを優先した結果、増えてしまった品質の低いコードのことです。複雑、重複、手抜きのコードが多くなっていくと、保守に多大なコストがかかるようになります。そのため、どこかのタイミングでコードを整理して修正する「リファクタリング」の実施が必要になります。
放置して品質の低いコードが増えるほど、リファクタリングは大変になります。これが借金と返済の関係に似ているため「負債」という比喩表現が使われています。短期的なメリットを優先しすぎると、後にツケが回ってきて中長期的にはデメリットが大きくなるというのは、実際の生活でもよくあります。
セキュリティの世界でもこれと同じ現象が起こります。短期的にセキュリティ対策の導入スピードを優先させると、中長期では重複したり形骸化したりした無駄な対策が増えていきます。どこかのタイミングで整理して品質を改善しないと、無駄な対策にコストを払い続けたり、運用に手間がかかりすぎたり、想定しないセキュリティ上の穴ができてしまったりします。筆者はこうした現象を引き起こす要素を「情報セキュリティ負債」と呼んでいます(表1)。放置していると返済が大変になる点も技術的負債と同じです。
情報セキュリティ負債とは
追加・拡張時の見直し不足で発生
情報セキュリティ負債が主に発生するのは、セキュリティ対策のエンハンスメントを実施したときです。サイバー攻撃は高度化を続けています。セキュリティ対策のエンハンスメントをしないとシステムを守りきれません。また、公的機関や業界団体の規程やガイドラインは継続的に更新されています。日々、コンプライアンス順守のために実施すべきセキュリティ対策は増えたり変更されたりしています。
ただ、セキュリティ対策のエンハンスメントが行き当たりばったりだと、情報セキュリティ負債が積み上がっていきます。情報セキュリティ負債には次の二つのパターンがあります。
一つめは「重複したセキュリティ対策」です。短期的視点で個別最適化したエンハンスメントを各システムで実施すると、どうしてもセキュリティ機能の重複が生じます。二つめは「形骸化したセキュリティ対策」です。既に陳腐化して安全性が低下している技術や、利用されていない機能がシステム内に残存しているような状態です。
これらは機能面だけでなく、運用面にもあります。既に不要になった運用プロセスが現場に残っている、といった状態です。導入当初に運用プロセスを過剰なレベルに設定して、見直しがないままになっている運用現場は少なくありません。運用は単純作業の繰り返しが多く、時を経るごとに当初の目的を見失いがちです。現場では無駄かどうかを気付けないものです。
