ここから本文です

セキュリティを学ぶのに必要な2つの視点とは?

ITmedia エンタープライズ 7月6日(水)13時44分配信

 数々のセキュリティ侵害事件や情報窃取事件がビジネスに及ぼす影響は、増大の一途にあります。単にブランドや評判に傷がつくというレベルではなく、業務の停止、人材の流出、顧客への対応も困難になっており、適切な対処のための方策が求められています。

【その他の画像:有価証券報告書へのサイバーセキュリティリスク開示】

 この状況へ対処していくためには、誰が、どうすれば良いのでしょうか。わたしたちは、技術者のみならず、さらに多くの人がサイバーセキュリティに関してさまざまな角度から学びやすいようにすることが解決の糸口になるのではないかと考え、2016年4月にサイバーセキュリティ教育のための「Hackademy Project」(ハカデミープロジェクト)という活動を始めました。

 本連載は、Hackademyが最初にリリースした講座の内容を中心に、サイバーセキュリティに関する基礎的な情報などを「つまみ食い」しながらお届けしていきます。できるだけカジュアルに取り上げることで、より多くの方にセキュリティを考えていただくきっかけにしていきたいと思います。今回は、サイバースペースの移り変わりを踏まえ、現在のサイバーセキュリティ教育に不可欠な視点を考えます。



●セキュリティ対策が求められる背景の変遷

 サイバーセキュリティは、「技術・運営の現場の問題」から「役員会・経営会議で語られる問題」へと移ったと言われています。これはIT関連の会社だけではありません。あらゆる種類の企業・団体の経営層が関心を持ち、意思決定に取り組むべき課題として認識されるようになりました。

 つまり、現在のサイバーセキュリティは単純にテクノロジー面だけの知識を取得すれば良いというものでないということになります。実際のビジネス、顧客や関連企業へ、ひいては業界への影響があるからです。サイバーセキュリティにかかわるリスクを考える人は、この視点で経営層への説明をしなければならない場面も増えています。また、社内では部門ごとの業務への影響という視点、事前対策・事後対応のアプローチも不可欠になっています。まさに、テクノロジー面とビジネス面の双方からのアプローチが必要になっているのです。

 これまでのセキュリティは、社内で規定した「情報」をどうするかということに終始し、そこを守るのは情報システム部門の仕事――という共通理解があったことでしょう。現場の情報システム部門、システム構築部門、システム運用部門などのいわゆるIT プロフェッショナルが、社内の別のプロフェッショナルに情報共有するシーンは多くあったと思います。もっとも、そこを円滑に行う取り組みは引き続き重要です。

 しかしながら現在では、セキュリティにかかわる以前の認識が大きく変わってきました。経営層に対して、自社が現状で導入しているセキュリティ対策を解説し、それがどのようなリスクにどの程度役立っているのかを示したり、昨今頻発するサイバーセキュリティ関連事件などのニュースがあれば、「同様の事象が発生した際に自社は大丈夫なのか?」といった部分の解説が求められたりしています。

 経営層へのブリーフィングに与えられる時間は、せいぜい5分から10分ほどですが、その頻度は増していることでしょう。短時間できちんと俯瞰した、かつポイントをついた情報にしなければなりません。また、株主総会でサイバーセキュリティに関する質疑応答が発生するシーンもよく見かけるようになりました。こうした場面で解説を的確に行うことは、実はITプロフェッショナルとして従来に求められたスキルを大きく超える範囲になります。もしかすると、読者の皆さんも肌で感じているのではないでしょうか。

 これにより、いわゆる困ったことにならないための「保険」程度に位置づけられていたセキュリティ対策は、社会人が入社する会社を選ぶ材料に、経営陣が継続的にその立場にいるべきなのかを検討する材料に、または投資家が株を売買する材料に、さらには広くステークホルダーがその会社をどう見るのかの材料としての役割に変わりました。既に上場企業は、有価証券報告書などにサイバーセキュリティ対策を記述し、投資家やステークホルダーが見て安心できるよう取り組んでいます。企業の経営戦略において、戦略的な投資としてのセキュリティ対策をどう考えるかという要素の影響が大きくなってきました。

 つまり、サイバーセキュリティを取り巻く状況を俯瞰(ふかん)し、自社の状況をもとにビジネス面での意思決定につなげていくことは、もはやITプロフェッショナルだけが努力すればどうにかなるという類の問題ではないということです。このようなサイバーセキュリティ対策の位置づけや求められる役割の変化は、テクノロジー面のキャッチアップだけの問題ととらえるのでは不十分なのです。

●サイバーセキュリティ教育に取り入れるべき視点

 さて、サイバーセキュリティにおけるテクノロジーとビジネスの両面で共通して持っておくべき視点があります。それは、「防御」と「攻撃」です。この双方の視点からのアプローチを取り入れることはとても有効性が高いといえます。

 まずは、テクノロジー面から考えてみましょう。

テクノロジー面における視点

 読者の皆さんはご存じかもしれませんが、サイバーセキュリティは、防御側が圧倒的に不利な状況から始まります。守るべき部分が100カ所ならその全てを防御する必要がありますが、攻撃側は防御の脇が多少甘い1カ所を突破するだけで攻撃を成立させることができます。また、防御側は法律や就業規則など、さまざまなコンプライアンスの範囲内で対策していく必要がありますが、攻撃者側はそもそもそんなことを気にしません。公然と違法な手段で攻撃を行うことができます。

 このような状況で効率良く、また、精度の高い防御を実現するには、「攻撃手法」の視点を学ぶ必要があります。その理由は、攻撃側の行為に対して守る側が「適切である」と判断した防御策がすっかりミスマッチになってしまっているために被害も発生しているからです。非常に残念ながら、いまだにネットワークセキュリティでどうにかなると考え、「ファイアウォールを入れていれば攻撃を防御できる」とか、「ウイルス対策ソフトをインストールしているから安全」と言った声を聞きます。まったく、いつの時代の話でしょうか……。

 攻撃は、ネットワークが許可をしている範囲で行われます。ウイルス対策ソフトが攻撃の段階で検出できるマルウェアは、多くはありません。また、クラウド上のシステムがこれほど多くなると、物理的な境界線で防御するという概念は適用しにくいことでしょう。この話は、また追々していきましょう。

 「攻撃に対する防御のミスマッチ」は、攻撃視点の知識不足が原因です。適切な防御策の選定は、「相手がどういった攻撃を仕掛けてくるのか?」「その攻撃はどのように行われるのか?」を理解してはじめて可能になります。攻撃内容と対策内容のミスマッチによる初歩的な失策も起きにくくなり、ようやく自社のセキュリティ対策レベルを向上させることができるからです。

 概してサイバーセキュリティにおける事故は目に見えにくく、体感にしくいという特徴があります。セキュリティ技術を習得していくには、実際に目で見て影響を感じる経験が一番です。少なくとも、何が起きているのかを手元で再現するための検証環境の構築が有効でしょう。検証環境があれば、経営層を含むITプロフェッショナルではない人に対して事象を解説する際に、どういった事が起こるのかを実際に目で見てもらうことができます。

 また、その解説には技術的な用語や文脈を伴うことも多く、ITプロフェッショナルではない人に対する解説が難しく感じることがあります。ここで、実際に事象を確認できる環境を活用しながら解説すると、こうした人たちのサイバーセキュリティに対する理解を得やすくなります。検証環境があれば、新しいサイバー攻撃が発生した際にもすぐに検証して対策を講じ、その有効性を確認できるでしょう。防御策の有効性を確かめる場合にも、手元で試せる検証環境があれば、それはいくらか容易になります。

 それに、システム導入したタイミングでは十分なセキュリティ対策強度を施したと思っていても、新たな脅威、新たな攻撃に対しては有効でなかったことが分かる場合があります。セキュリティ技術は移り変わりの激しい分野であるため、検証環境を身近に用意して、常に試せるようにすることはテクノロジー面の学習において不可欠でしょう。

ビジネス面における視点

 記事の冒頭で述べた通り、ビジネス面からのアプローチは現在のサイバーセキュリティ対策において非常に大切なファクターです。テクノロジー面と同様に、攻撃と防御の双方の視点を持つことが重要です。

 事実、攻撃側はビジネスの一環として攻撃を行っています。ブラックマーケットへ行けばマルウェアを購入できますし、例えば、ファイルなどを勝手に暗号化してしまうランサムウェアの中には「Ransomware as a Service」と呼ばれるクラウドサービスを通じて提供されているものもあります。攻撃のためのサプライチェーンを確立しており、サイバー攻撃を役割分担の整った、投資ビジネスの一つとして捉えているとさえ言えます。

 このような攻撃側のビジネスモデルやマネタイズ方法を理解することで、ビジネス面のセキュリティ対策のコンセプトは大きく変わります。

 これまでは「サイバー攻撃の被害に遭わないようにするにはどんなツールをどう使えば良いのか?」だけを考えていた人もいたと思います。しかし、「相手が投資の伴う効率の良いビジネスとしてサイバー攻撃を行う」という視点を得ると、サイバーセキュリティ対策のコンセプトに「攻撃者に投資を回収させないためには?」とか、「攻撃者の投資対効果を下げるには?」という視点を得られ、セキュリティ対策がトレードオフだということが分かってきます。だからこそ、攻撃視点でのビジネス面を知っておく必要があるのです。

 ビジネス面における防御の視点では、サイバーセキュリティ対策が自社の事業継続にとって、また、経営リソースにとってどのように重要なのかを整理し、把握しておく必要があります。コンプライアンスも意識しなければならないでしょう。つまり、この問題をITプロフェッショナルの関連部門が共有するためだけの内容にとどめてはなりません。自社内の全部門、経営陣、投資家、その他各種ステークホルダーに対して、サイバーセキュリティ対策の理解を得られるようにすべきです。

 繰り返しになりますが、サイバーセキュリティは「技術・運営の現場の問題」から「役員会・経営会議で語られる問題」へと移ったと言われています。その役割は、「保険」から「戦略的な投資」へ進展し、「Security as a Business Enabler」として認知されるようになってきました。セキュリティ対策をしっかり確保することによって初めて安心して事業を行うことができ、生産性を発揮できるのです。

 本稿では、テクノロジー面とビジネス面の双方からのアプローチをしっかりと学習しておく必要性について述べました。攻撃と防御の視点が適切なサイバーセキュリティ対策を導入するために不可欠であることも述べました。サイバーセキュリティ対策は、攻撃者という対戦相手がいる分野です。対戦相手の目的や手段を知ることで、より適切な対策を導入できます。

 この問題に取り組むため、テクノロジーもビジネスも、攻撃視点も防御視点も全てを両輪で学習し、わたしたちHackademyと一緒にセキュリティレベルを底上げしていきましょう!

●執筆者紹介
・岡田良太郎(おかだりょうたろう)
ビジネス活動にセキュリティを実現するコンセプト「Enabling Security」を掲げ、技術実践とビジネス推進の両方の視点からセキュリティ推進事業に従事している。OWASP Japan代表、WASForum Hardening Projectのオーガナイザとしても知られる。また、一般実務担当者に向けたセキュリティ教育や、ビジネス・ブレークスルー大学「教養としてのサイバーセキュリティ」を担当するなど、非技術者向けの講演も多数。公認情報システム監査人、MBA。

・蔵本雄一(くらもとゆういち)
筑波大学非常勤講師、日本CISO協会主任研究員、公認情報セキュリティ監査人、CISSP。プログラミング、侵入テスト、セキュリティ監査、セキュリティマネジメントなど、セキュリティ対策の上流から下流工程まで幅広くカバーする活動を中心に、近年は経営層への普及活動を行う。近著は「もしも社長がセキュリティ対策を聞いてきたら」(日経BP社刊)。その他執筆、講演など多数。

最終更新:7月6日(水)13時44分

ITmedia エンタープライズ