HOME > U+(ユープラス) > 奇論・暴論 > 第366回 サイバーセキュリティ対策の現実
2015/12/07
このところ、サイバーセキュリティ対策を議論する研究会にいくつも参加しているが、そこで必ず確認されることがある。「完全にサイバー攻撃を防ぎきることはできない」ということである。マルウェアは次々と新しいタイプを開発し、それは既存の防御ソフトをすり抜けることを確認した後、攻撃に投入される。現在ある最新のセキュリティソフトもすぐに突破される可能性が大きい。
もちろん、だから現在のセキュリティソフトが無意味だというわけではない。古いマルウェアなども、現時点では飛び交っているので、こういうものは防ぐことができる。現行のセキュリティソフトは新しいマルウェアが出てくるとその防御策を講じてクラウドでユーザーに直ちに供給される仕組みがある。最新のバージョンをダウンロードすれば、ユーザーは大部分の脅威からシステムを守ることができる。
しかし、それでもなお、新しいマルウェアなどを発見して、その対応ソフトを開発し、ユーザーに供給するまでの間に、空白の時間が生じる。この間に侵入されるのは防ぎようがないのである。もちろん、仮に侵入されたとしてもごく限定されたマルウェアでしかないので、侵入に気がついたら、ただちに事後対策を講じて被害の極小化を図ることが期待できる。「完全には防ぎきれない」ということを自覚しておくことで、被害の拡大を防ぐことができる。
セキュリティ対策については、全力で防ぐ努力をするが、防げない場合を想定して、被害が広がらない事後対策も2重、3重に準備することが重要になる。それもデスクプランではなく、頻繁に不審なメールを送り付ける「テスト」によって演習を繰り返し、リスク管理を体験で体得してもらうのが必須である、と実感する。
絶対に安全だと信じ込むと、実際に起こると「想定外」と言い訳して無為に時間をつぶすことになってしまう。
情報セキュリティに関わる事故が大きく報道されるたびに情報システム関係者は、経営者から「ウチは大丈夫か?」と聞かれるはずである。その時に「万全に対策してありますので、攻撃は防ぎきれます」などという過剰な回答をしてはいけない。「新手が次々と出てくるので、完全に防ぎきることはできません」と答えて、突破されたときのリスク管理マニュアルの制定と頻繁な訓練のプログラムの必要性を経営者に訴えるべきである。
完全に防ぐことは不可能なので、「リスクを最小化する」という考えで、侵入されたときの対応のシナリオつくりに取り組むべきである。