対策は流行に捉われやすいが、本来は順序立てて検討していくことが重要だ。要件を決める方法として、情報セキュリティのフレームワークを活用した手順を解説する。Webシステム向けの対策や、ロードマップの策定方法も見ていこう。
セキュリティ対策は本来、守りたいものや対策の目的によって多様な選択肢がある。だが、経営層や顧客への説明がしやすいことから、流行りのソリューションに陥りがちだ。インターネット イニシアティブの根岸征史氏(サービスオペレーション本部 セキュリティ情報統括室 シニアエンジニア)は「特定ポイントだけのソリューションに依存するのはよくない。その他の脅威にも対応できるように、バランスよく対策する必要がある」と指摘する。
流行に惑わされないためには、現状分析や目的の明確化など、順序立てて考える。手順としては、IPAが提示する作業項目が参考になる(図1)。実施フェーズは要件定義からテストまで五つある。ここでは要件定義と方式設計に注目しよう。
要件定義では、資産の洗い出しからスタートする。次に、現在の防御策を整理した上で、どのような脅威を想定するかを決める。「自社の情報資産に対する脅威を整理しておかないと、何かあったときに“想定外”となったり、後の作業工程で手戻りが生じたりする」(IPA 技術本部 セキュリティセンター 情報セキュリティ技術ラボラトリー 中西基裕氏)。
その後、対策する箇所やコストを検討し、対策を実行するかを判断したら、方式設計に移る。ここでは、機器の設定や製品による対策を検討する。製品選定でのポイントは「監視」も併せて具体化すること。機器による効果は、監視の良しあしによって決まる。
一連の作業の中で、最初に戸惑うのが、要件定義フェーズだろう。どのような脅威に対してどんな対策を講じるべきかといった、「自社にとって必要な対策」を見極める作業が悩みどころだ。
そこでここからは、必要な対策を決める具体的な手法や、実行への移し方を解説する。まずは、企業のシステム全体について、情報セキュリティフレームワークを使った分析手法を紹介する。続いて、Webシステムについて、どのような優先度で対策を検討すべきかを説明する。最後に、自社に必要な対策を決めた後、いつどの順で対策を実施するか、ロードマップに落とし込む手順を押さえよう。