情報セキュリティ: 2008年9月アーカイブ

この数年で多くの企業が情報セキュリティに対して多くの投資を行っている。この経費削減の嵐が吹き荒れる中である種の「聖域」を確保してきたのだが、その投資の多くが、その時々のクリティカルな問題に対してとりあえず対処する形で行われているため、結果的に一貫性を失ってしまっていることが少なくない。セキュリティ対策導入のトレンドを年代順に見てみると・・・

・９０年代後半：　インターネットの普及と電子メールウイルスの増加

　　　ファイアウォール、PCウイルス対策

・００年代初頭：　ネットワークワームの蔓延、ウイルス・ワーム被害の拡大、Web改ざん（第一次）

　　　不正侵入検知、防御対策、メールやサーバレベルのウイルス・ワーム対策

・００年代中盤：　個人情報保護法、Webアプリ攻撃（SQLインジェクションやXSSなど）の顕在、Winny（Antinny）騒ぎ

　　　データ暗号化、PCやネット監視、利用規制（Policy Enforcementやモニタリング）、WAF（　Web Application Firewall)

・００年代終盤：　JSOX,

　　　ログ取得、管理、レポーティングツール、リスク可視化ツール、ID管理ツール

このすべてを導入した企業も少なくないだろうし、その累積投資額は億単位となっているはずだ。このすべてが現在もなお企業の中で動いているわけだが、はたしてその運用はどうなっているのだろうか。

現在、次にくる脅威として叫ばれ始めているのが、マルウエア（ウイルスなど）を悪用して特定の組織を狙う「標的型攻撃」（Targeted Attack）である。いわばオーダーメイドのウイルスを使って狭い範囲で実行されるこうした攻撃に対しては、既存のどの対策も十分ではない。まさに、Silver Bullet（つまり、狼男を一撃で倒せる聖銀の弾丸）のない脅威である。当然こうした脅威に対抗できる新しいテクノロジーの開発は急務なのだが、おそらく１００％のものはできないだろう。つまり、なんとか既存の対策の網を狭めて、どこかでひっかけるしかないのである。そう考えたときに、おそらく問題になるのが、既存のセキュリティシステムの運用である。

おそらく、どこの会社でも、IT部門が主体となっているのだろうが、近年のシステムの運用にはかなりのセキュリティ知識が必要になることもあって、専門のチームやアウトソースによって運用されてることも多いだろう。たとえば、ファイアウォールのログとIDSのログと、ウイルス対策システムのログとを全部チェックしなければいけない状況が生じたとき、どれくらい迅速に対応が可能だろうか。ログだけならばいいが、これらの設定を全部変更しなければいけなくなったときにはどうだろう。もし、これらの運用を担当する人たちの間の連絡が十分でなければ・・・、さらには、全体をきちんと統括できる人がいなかったら・・・、それは困難を極めるはずだ。そんな状況が、あちこちで起きてはいないだろうか、というのが最も気になる点である。そんな状態でさらに屋上屋を重ねるように新しいシステムを導入していけば、問題はどんどん複雑化していくだろう。このあたりで、一度見直しが必要だ。

システム運用や技術対応のみならず、セキュリティマネジメントの面からみても現場の混乱が見られる。たとえば、セキュリティに関連する規格やそれらが唱えるベストプラクティスの氾濫だ。ISMS（ISO27000シリーズ）、プライバシーマーク（JISQ１５００１）、COBITなど、目的が異なる規格が「セキュリティ」に関する要求事項を似て非なる形で定義している。さらに、昨今のＢＣＰ・ＢＣＭ重視の流れの中には、さまざまなビジネスリスクを管理しようという流れがある。これらは往々にして企業内で異なる部署によって所管されている。ちょっと考えればわかることだが、微妙に異なる要求をそれに忠実に別々の部署が実施しようとすれば、間違いなく混乱が発生するだろう。ひどい場合は、「お役所」間の紛争に発展する可能性もある。これらの似て非なる規格の共通点はかなり多い。たとえば、最も幅広いＣＯＢＩＴに各規格の要求をマッピングしてみて、そこからはずれているもののみを個別に対応するようにできればいいのだが、これをやるには、できればこうした規格をまとめてひとつの部署が所管するような形が必要だ。さらに、話をビジネスリスク全般に拡大するならば、この組織は企業のリスクマネジメント全体を所管する組織の一部である必要がある。ある意味で、そろそろこうしたリスクマネジメントにかかわる組織の抜本的な再編が必要な時期に来ているのかもしれない。

脅威が複合化、複雑化、高度化し、その対応も同様になっていくことを考えれば、これらをいかに統一的に管理できるかが今後のセキュリティの課題であることは間違いないだろう。こうしたことはトップ主導でなければできない。形ばかりのCSO/CISOではなく、専門的な知識と経営センスをあわせもち、ＣＥＯと本気で渡り合えるレベルのＣＳＯまたはＣＲＯやＣＩＯが必要なのだろうと思う。言うは易しではあるが、そんな形が一般化していくことを祈りたい。

昨日の夜、こんな景色が見えるあたりで、先日行われた若者育成キャンプの反省会が開かれた。

そのあとの懇親会で、実行委員長のM氏とあれこれお話をしていたのだが、若者たちに「セキュリティ」を教えることが、彼らの将来にどう役立っていくのだろう、という話になった。「プログラミング」とかいうことならば、直接的に、その力を活かしてIT業界で活躍・・・という構図なのかもしれないが、「セキュリティ」もやはりそうなのか。M氏はキャンプの卒業生がそのままセキュリティ業界に行ってほしいとは思わないと言う。一旦、他のIT技術、たとえばプログラミングなどを学んで、そちらの仕事をしてからセキュリティの世界に戻ってほしいというのである。

実は私も同じことを考えていた。そもそも、「セキュリティ」は、何か「守るべきもの」があって「それを脅かすものがいる」という構図があって成り立つものだ。「守るべきもの」を知らずして、それをきちんと守ることは難しい。純粋に「セキュリティ」のみを学んで（そもそもありえないと思うのだが）それで仕事ができてしまうような世界はちょっと変だ。

「セキュリティビジネス」がひとつの業界になるのはいい。だが、セキュリティ「専業」の企業ができることの範囲は意外と狭い。なぜなら、それ以上の範囲に踏み出そうとすると、顧客のIT全般、さらには業務に踏み込んでいく必要が生じるからだ。これには、相当な「総合力」が必要だ。まさに、この部分はIT業界全体においても大きな課題となっている部分である。これを避けてセキュリティだけを生業とするならば、単に製品を売るか、何か起きた際の「技術的な」火消しのお手伝いをするか、型どおりの検査や監査、監視のサービスを提供するくらいしかない。ただ、このレベルだと顧客の側にも、自分たちの仕事にあわせてセキュリティ企業を使いこなす力が求められるのだが、実際、多くの企業にその力はない。そのままだとセキュリティをなかなか買ってもらえないから、セキュリティ専門企業は顧客の恐怖心を煽る行動に出る。恐怖をあおられた側は、それを無視するか、安心感を得るために、その効果もきちんと評価できない状態でセキュリティを買うかしかない。結果として顧客のセキュリティ対策はパッチワーク化する。

企業のみならず、いわゆるセキュリティの「専門家」にも同じことがいえる。（ここでいう専門家は特定技術の専門家ではなく、セキュリティ全般のコンサルタントのようなジェネラリストを意味しているのだが・・）もちろん、業務知識に精通し、最新のIT技術も理解した専門家も多いだろうが（そう信じたい）、付け焼刃の「専門家」に多いのが、「リスク」という言葉を不用意に振り回す輩である。現在、セキュリティのリスクをきちんと定量評価するような手法は一般にはまだ確立されていない。しかし、定性的な分析であっても、いくつかの異なる角度から見てやることで、相対的な重さはある程度判断ができる。だが、リスクは決してゼロにはできない。「リスクがある」というような言い方は、ある意味で殺し文句である。言われた側はそれが些細なリスクだったとしても、かなり委縮するだろう。非専門家に対してこの言葉を使う場合はかなり覚悟がいる。たとえば、その顧客の業務にとても有用な新しい技術が出てきたときに、その有用さを知らない「専門家」が「リスク」を口にしたらどうなるだろうか。この言葉は、顧客の経営層を直撃する。特に、昨今、会社の経営陣は「リスク」という言葉に非常に神経質になっている。間違えば、せっかくその企業の優位性を高めるかもしれない新技術がお蔵入りしてしまうかもしれない。漠然とした「リスク」の一人歩きにはこうした危険がある。「リスク」を口にする以上は、それが、相手にとってどの程度のインパクトをもたらすのかをきちんと説明し、ビジネス上のメリットとのバランスをとれるだけの情報を提供できなければ、「専門家」とはいえない。そのためには、セキュリティの教科書を読んだだけではだめなのだ。セキュリティを「売り逃げ」するつもりならば別だが・・・。

そういう意味で、若者たちには広い勉強や仕事をしてほしいと思う。その上で、彼らがまたセキュリティの世界に戻ってきたとき、彼らは本当の意味での「専門家」になれるのだろうと思う。 自戒を込めて言えば、そういう意味での勉強には終わりがないと思っている。常に最新のIT知識や、さらには経営知識や様々な知識や経験を積んでいくことをやめてしまったとき、セキュリティ屋としての自分のキャリアは終わるのだろうと思う。さすがに、もう若くない身としては、かなりきついのだが・・・・、まぁ、頑張るしかない・・・か。