セキュリティ対策はシステムでやれば十分？それとも不十分？

標的型攻撃も含め、セキュリティの脅威から組織を守るための製品やサービスが様々なベンダーから出ています。

これらベンダーの宣伝文句を読むと、ウィルス対策ソフトのアップデートとセキュリティパッチの適用をしっかりやりつつ、攻撃による脅威を検知し、システムを防御する仕組みを導入すれば、100%は防げないけれど、ほとんどの場合は大丈夫。であるように思えます。

システムでほとんど防いでくれるなら、組織の中に多少セキュリティ意識が低い人がいたとしても問題ないようにも思えますが、実際のところどうなのでしょうか？

システムでちゃんと防いでくれるなら、面倒なセキュリティ教育なんてしなくてもいいですよね。アップデートもシステムが全部自動でやってくれたなら、そもそもセキュリティの事なんて心配しなくてもよくなります。余計なことを心配しなくて済むのですから、こんないいことはありません。

でも、結論から言うと、システムで全ての脅威を防ぐことは不可能です。これは技術的に不可能ということではなくて、システムでカバーできる範囲には限界があるためです。

簡単な例を挙げます。お客様にダイレクトメールを発送するために、社外の委託先にお客様のアドレスリストを送るとします。この行為自体は脅威でも何でもありませんが、この社外の委託先にあたる送付先が悪意のある第三者で、社内からお客様のアドレスリストを送るのが悪意のあるマルウェアに置き換わったら、それはたちまち脅威に変わります。

社内から社外にアドレスリストが送付されるという行い自体は変わりませんが、誰が誰に何の目的で送るのか？によって、通常のビジネス行為となるか、脅威となるかが変わるとしたら、システムだけでは判断のしようがありません。

あまり考えたくはありませんが、何かのきっかけで関係者が悪意を持ってシステムを操作する可能性もありうることまで含めて考えると、セキュリティ対策はシステムだけでは不十分であることにすぐ気がつかれると思います。

ウィルス対策ソフトとセキュリティ対策のシステムを導入しており、ほとんどの脅威は防げるから訓練なんてする必要ない。といった意見もあるようですが、悪意を持ってシステムに働きかけてくるのは機械ではなく「人」である以上、その様な人達を寄せ付けないようにするための方策として、アナログな方法からデジタルな方法まで、総合的な観点を持って取り組むのが、セキュリティ対策のあるべき姿です。

その意味では、訓練やセキュリティ教育は目先の効果だけに囚われるのではなく、会社全体としてセキュリティには常に目を光らせており、隙は決して見せないという姿勢を社内外にアピールする機会としても捉えるべきなんではないかと思います。

御社では「セキュリティ対策」をどのようなものとして捉え、取り組まれているでしょうか？