昨年から始まった金融危機の影響で、各企業はいっせいにコスト削減に走りました。特にITに対しては厳しい削減要求が突きつけられ、情報セキュリティに関連する分野にも影響が出始めています。
最近増加傾向にある情報漏えい事件の現場にも、それは見て取れます。セキュアプログラミングとはかけ離れたWebアプリケーション開発、止まらない自宅からのピアツーピアソフトによる情報漏えいなど、もう解決されていておかしくなかった事象が今さらながらに繰り返し起きています。
コストがかけられないから情報セキュリティ対策ができない。それで事件が起きてしまい顧客の信用を失って売り上げに大きな打撃が生じる。それを教訓とした対策を行うにも利益が確保できない。という負の連鎖が始まりました。
セキュリティ業界も一時の勢いはなく、一部の企業を除いて多くは大きな悩みを抱えています。
これまでであれば、何か事件が起きるとセキュリティ業界はいっせいににぎやかになったものでしたが、今回はどうやら違うようです。これは顧客のニーズと提供している製品やサービスにずれが生じ始めているためではないかと私は考えています。
これまでのセキュリティサービスや製品の多くは「事前の防御」に重点が置かれていました。例えばセキュリティポリシーの策定や情報資産の洗い出し、ノートパソコン持ち出し台帳の整備・運用などに代表されるマネジメント系、USBメモリーの使用を禁止するソフトやコンテンツフィルタリングなどの制限システム系などです。
ところが、これらを整備しているにも関わらず情報漏えい事件は置き続けています。金融関係の会社などは前述の取り組みや仕組みは十分に導入されていたはずです。
これらの取り組みやシステムは「ザルの重ね合わせ」ですから、いずれにしても何かの漏れはあるのです。
私はもっとインシデントに着目するべきと考えています。これまで、日本特有の組織文化として「事件が起きたら、という前提は不謹慎である」という考え方が経営者を中心に根強くありました。ですから、「事前予防」だけに目が向くのです。ところがこの考え方に基づくと「高価なザル」を何枚もそろえることになる一方で、インシデントの発見や予兆の検知など事後対策には経営資源が向けられません。
本来の経営的発想からすると「インシデントは起きないように対策するものの、インシデントの影響を最小化するために早期発見と早期対応の体制を整えておく」という考えが正しいのです。
コストがかけられない状況になり、経営資源を限られた対策にしか向けられない状況で最悪の選択は、
・全体のセキュリティ対策を少しずつ削減する
というものです。これではザルの目が大きくなるばかりで、しかもインシデントは予兆どころか発生すらも気付かず「被害の最大化」を招きます。ところが多くの企業がこの選択をしています。
もし限られた経営資源しか使えないのであれば、インシデントに着目して予兆の検知や早期対応のためにコストをかけるべきです。「背水の陣」とも言えるかもしれませんが、セキュリティに本気で備えるのであれば、こうした戦略的な考え方も必要なのです。
Webサーバーへの攻撃対策として、WAF(Webアプリケーション・ファイアウォール)に絞ってコストをかけるのも選択肢です。WAFの技術は日本は世界一であると思います。海外製品よりもはるかに高い除去性能を持っています。
また、自宅パソコンからの情報漏えい対策として「『自宅のパソコンでピアツーピアソフトは使っていませんか?』というアンケート」は効果はほとんどありません。これは当社の検査ツールの検査実績でも明らかになっています。私物パソコンのセキュリティ検査や私物パソコンに常駐型の監視ソフトを導入する企業も増加してきました。中途半端なセキュリティマネジメントは社員全員の時間を浪費するばかりでなく、セキュリティ向上には効果的ではないことに気付いて、踏み込んだ対策を行う企業も増えてきました。
最近のログの統合管理製品への注目の高まりもこうしたインシデントの予兆発見をしたい、と考えるようになった企業が増えてきたことを表しています。
インシデントが起きる場所で監視することによって、予兆の発見、早期発見、早期対応が可能になるのです。
セキュリティ対策が成熟化が進んできたものの、今後もレガシーなインシデントが繰り返されるのではないかと考えています。つまり、ロングテールの時代に入ってきたということです。このようなステージに入ってきたとすれば、その時代に適合した内容や価格のセキュリティサービスや製品の提供に変化していかなければいけないと考えています。
