セキュリティ対策を万全にする、ソフトともう1つ必要なもの。
- INDEX
-
経営に深刻な脅威をもたらすサイバー犯罪への対策はわかりにくく難しい
2015年には日本年金機構から100万件以上の、その翌年には旅行会社から800万件以上の個人情報流出事件が発生したことは、当時大きな話題になったため覚えている方も多いことでしょう。
日本国外では2017年9月に米国の信用情報会社で、クレジットカード番号を含む詳細な個人情報が、最大1億4300万人分流出するなど、インターネット経由のサイバー犯罪はますます深刻な脅威となりつつあります。
これがたとえば空き巣狙いのような古くからある犯罪なら、鍵をかける、警備員を置く、防犯カメラやセンサーによる監視システムを入れるなど、専門知識を持たない人でも直感的にわかる対策が有効です。
しかし高度なテクノロジーを駆使したサイバー犯罪は、経営者や従業員にとっては「未知の脅威」であり非常にわかりにくく、その対策の必要性や具体的な方法を説明し理解を得るのは難しいものです。
セキュリティソフトさえ入れておけば安心、とは言えない時代
サイバー犯罪というのは、仕事をするうえで不可欠なPC(スマートフォンやタブレットを含む)に、ウイルスのような不正なプログラムをインストールし、それを通して情報を盗み取ったり、業務を妨害したりする犯罪です。
「不正なプログラム」のことを一般にマルウェアと呼びます。人間が泥棒として忍び込んでくるときは「侵入者」が目に見えるので対策しやすいのですが、マルウェアは単なるプログラムなので目に見えません。その目に見えないマルウェアを見つけ出してくれるのがセキュリティソフトです。
自分がよく知らない、わかりにくいものに出会った時に、多くの人は「後で考えよう」と先送りをしたり、「全部任せるからうまくやって!」と丸投げをしたりしがちです。それでうまく行く場合もありますので、サイバー犯罪に対しても「セキュリティソフトを入れておけばいいんでしょ?」と丸投げ的に考えてしまう経営者が多いのは、無理もありません。しかし、現代ではセキュリティソフトさえ入れておけば安心とは言えません。
セキュリティソフトでも検知できない「未知の脅威」が増え続けている
実は、セキュリティソフトも「新しく作られて、まだ知られていないマルウェア」を見つけ出すのは苦手です。過去にどこかで見つかったマルウェアについては、その特徴を記録した「指名手配リスト」を使って高い精度で発見できるのですが、新しく生まれてまだリストに載っていないものは、なかなか見つけることができません。
現在はそのような新しいマルウェア、つまり「未知の脅威」が毎日何十万種という勢いで増え続けていて、セキュリティソフトの対応も追いつかない状況にあります。もちろん、だからといって、セキュリティソフトを入れても無駄ということではなく、その導入は基本中の基本です。
セキュリティソフト側の技術も進化しており、ヒューリスティック分析による振る舞い検知や、AI技術を駆使したマルウェア解析など「未知の脅威」についても検出が可能になりつつあります。しかしそれでも完全に防ぐことは不可能であり、すぐに見つけられない「未知の脅威」が企業経営を脅かしているのがITセキュリティ最前線の現実です。
セキュリティソフトへの丸投げ思考のままでは効果的な対策はできない
したがって、「PCがマルウェアに感染する事態はいつか必ず起きる」と考え、そのときの対策を考えておかなければなりません。そこで重要なのが、「丸投げ」思考から卒業することです。
「よくわからないものを考えたくない、誰かに任せるから、今までどおりのやり方を変えずに仕事ができるようにして欲しい」と思いたくなるのは無理もありませんが、それでは未知の脅威への効果的な対策はできないのです。
実際に未知の脅威への対策を講じるためには、どうしてもある程度新しい知識を学び、仕事のやり方を変え、利便性が下がっても安全性を高めなければいけない場面があります。
利便性が下がって仕事が楽になるということはありえないので、安全性を高めると業務効率が下がり、業務効率を優先すると安全性が犠牲になるという、トレードオフの関係が多かれ少なかれ生じます。
その両極端の間のどこを落としどころにするかを最終的に決められるのは、事業の責任者だけです。具体的に何をどのように変えるのかを決めるためには、責任者自身が必要な知識を学んで決断しなければなりません。
責任者だけでなく末端の従業員一人一人も学ばなければなりませんし、組織のさまざまな管理ルールもセキュリティ視点で見直して、効果の高いものに変えていかなければなりません。これらはいずれも費用も時間もかかるもので「丸投げ」の発想で推進することは不可能です。
未知の脅威への対策には仕事の進め方を変えることも欠かせない
「セキュリティソフトでも未知の脅威は見つけられない」という事態を泥棒対策にたとえて言うと「玄関の鍵をいくら厳重にしても突破される場合がある」ということです。
しかし、深夜に無人のオフィスに入り込まれたとしても、金目の物を探すのに時間がかかれば泥棒は諦めて去っていきます。貴重な物品を無造作に放置せず施錠できる場所に収納していれば、実害が起きるのを食い止めることができるのです。
ただし、実際にそれをやろうとすると、「貴重な物品」とは何かを従業員全体が自覚し、毎日終業時には収納し、始業時に取り出すという手間がかかります。「泥棒の侵入を完全に阻止するのは不可能」だということをきちんと理解していなければ、そのような手間のかかる習慣を継続するのは難しいのです。
実際にITに関して「未知の脅威」をもたらすマルウェアへの対策は、大まかに(1)新しいマルウェアに強いPC環境を整える、(2)重要情報の管理体制を整える、(3)セキュリティ事象へのエスカレーション体制を整える、という3つの領域にわかれます。
そのうち(2)と(3)についてはソフト任せではできず、組織的な学びを通して仕事の進め方を変えることがどうしても必要なため、「丸投げ」の発想からは卒業しなければならないのです。
マルウェアの「動き」で未知の脅威を見つけ出す「振る舞い検知」機能
新しいマルウェアに強いPC環境の中核として不可欠なのは、「未知の脅威をも検知できる能力をもったセキュリティソフト」と「脆弱性対策」の2点です。
1点目の「未知の脅威の検知」は一般に「振る舞い検知」と呼ばれており、マルウェアが実際に動いたときの特徴的な「振る舞い」を手がかりに、マルウェアを検知する機能を指します。セキュリティソフトの基本は人間で言えば「顔写真入り指名手配リスト」に該当する「パターンマッチ方式」ですが、この方法では未知の脅威である新しいマルウェアを検知することはできません。
それに対して泥棒がものを盗もうとする「動作」を監視する方式ならば、顔がわからない窃盗犯も見つけ出すことができます。「振る舞い検知」ではこのようにマルウェア特有の動作を監視するため、未知の脅威へも対抗することができます。
PCがもつセキュリティの穴を「脆弱性対策」の徹底で塞ぐ
2点目の「脆弱性対策」とは、PCが持つ「脆弱性」と呼ばれるセキュリティの穴を塞いでおくことです。
脆弱性はソフトウェアの欠陥の一種であり、発見され次第ソフトウェアベンダーから修正プログラムが配布されますが、もし放置しているとその欠陥をマルウェアに利用されてしまいます。その修正をきちんと適用して脆弱性をなくしておくことも未知の脅威対策には重要です。
マルウェアに感染しても、盗む価値のある情報が存在しなければ実害はない
重要情報の管理体制とは、「金目の物品を無造作に放置しない」ことに該当します。あるPCがマルウェアに感染したとしても、そのPC自体に個人情報などの重要な情報が保存されていなければ、サイバー犯罪者は他のPC/サーバーを攻略しなければならず、すぐに被害を受けることはありません。
管理すべき重要な情報がどこにどのような形で存在し運用されているのか、その実態を把握して適切な運用手順を設計・統制することで、情報を盗み取られるまでの時間を稼ぐことができます。
まとめ:マルウェア感染の疑いに対して緊急対応ができる体制づくりの必要性
セキュリティ事象へのエスカレーション体制とは、「マルウェア感染が疑われる事象が起きたとき、すぐに専門家が調査できるようにしておくこと」を意味します。
現代のマルウェア感染の多くは実在する取引先や関係者を巧妙に装ったメールを通じて起きますが、何らかの不自然なポイントをともなうことが多いため、その不自然さに気がついた段階でPCをネットワークから切り離して、専門家に調査を委ねれば被害を食い止めることができます。
しかし、そのためには「不自然なメール」にはマルウェア感染のリスクがあるため緊急通報が必要なことをユーザーに教育し、たとえその通報が空振りに終わっても決して当事者を責めず称賛する組織文化を作り、さらに緊急に調査を委ねられる専門家とは事前に契約しておかなければなりません。
以上のようにいくつもの対策を組み合わせることで「未知の脅威」へも対抗することができますが、いずれにしても決して容易なことではありません。しかし、そのような手間をかけてでも対策を行わない限り、ある日突然大量の情報漏洩が発覚し経営の危機に陥る恐れがあるのが現実です。まさに現代のITセキュリティは「サイバー戦争」と言われる次元に突入しています。