筋肉が緩んだら瞬発力も衰える。それはセキュリティでも同じこと
スポーツ選手は毎日練習をしています。それは、折角鍛えた筋肉も、鍛えるのをやめてしまうと、あっという間に鍛える前に戻ってしまうからです。スポーツ選手でなかったとしても、運動をしなければ筋力が衰えてしまい、年を取るほどに瞬発力がなくなり、無理が利かなくなります。ご存じの通り、一度緩んでしまった筋力を元に戻すのは大変です。
緊張感に欠けるセキュリティ製品の広告
マルウェアの感染状況を可視化する、あるセキュリティ対策製品の広告。製品自体を非難する意図はないし、また、製品自体は良いものだと思うので、製品名は書きませんが、広告の中で登場するフィクションの事例が、どうにも緊張感に欠けているところが気になります。
もっとも、広告の目的は、製品の機能や、その良さを的確に伝えることにあるので、広告の見せ方の関係で意図的にそうしたということであるのかもしれませんが、社内のネットワークがマルウェアに感染している状況が可視化されているのを見て、「マルウェアの感染が広がっているみたいです」といった言葉が出てくるのは、何とも第三者的で、緊張感に欠ける言葉のように感じます。
もし、社内のネットワークがマルウェアに感染していることがわかったら、問題のパソコンやネットワークを切り離すことは第一に必要でしょうが、それと同時に実際の被害、特にお客様に対してなど、対外的にまずい事象が発生していないかどうかを直ちに確認することも重要です。しかし、これはすぐに把握できるようなことではなく、実際に確認しようとすると、かなりの手間と時間を要することになります。
調査と対策の実施には手間と時間がかかりますが、お客様などに影響が及ぶような被害が発生していたとしたら、一刻も早く手を打たなければなりません。こちらが把握していない問題をお客様から指摘されたり、インターネット上で第三者がTweetしていたりしたら、バッシングのネタにもなりかねません。
状況がはっきりわからないにも関わらず、何かしらの手は早急に打たなければならないという高度な判断を経営陣は迫られる。これは非常に難しい問題です。このような一刻を争うような状況にもなりかねないことを考えれば、「マルウェアの感染が広がっているみたいです」などと言っている場合ではないはずです。
緊張感がない日頃の環境が対応を遅らせてしまう
日本は非常に平和な国です。安全に暮らせるのは良いことで、これから先もずっとそうであってほしいと思いますが、平和な日常は緊張感からは縁遠いものとなり、緊張感がない日常は、イザという時の対応力をどうしても奪ってしまいます。
もし、戦争が絶えない国や、犯罪発生率の多いような国に居たとしたら、日頃から防犯対策をしっかり行い、犯罪に巻き込まれないよう、常に緊張感を持って暮らしているはずです。日頃口にしている食べ物が安全でないとわかれば、危険な食べ物がないかどうか、常に慎重に選ぶはずです。
筋力が衰えてしまわないよう、スポーツ選手が毎日筋肉を鍛えているように、セキュリティに対する備えにも緊張感が必要です。Internet Explorerの脆弱性問題や、Heartbleedの問題が指摘された時、すぐにアクションを取らなければと思った方はどれくらいいるでしょうか?
適度な緊張感を保つことで、アンテナの感度はよくなる
夜道を一人で歩いていれば、周囲のちょっとした変化にも敏感になるように、緊張感を持っていると、危ないなと思うことにはすぐに気が付くはずです。
セキュリティについても同じことで、自社が標的型攻撃のターゲットになるはずがないとか、自分が標的型攻撃なんぞに引っかかるわけないとハナから思って安心しきっていたら、マルウェアに感染していたとしても気づかないかもしれません。しかし、「もしかしたら・・・」という緊張感が常にあれば、いつ仕掛けられるかわからない攻撃に対してアンテナを張り、何か気づくことがあれば、すぐにアクションを起こさなければ。という発想に至るはずです。
とはいえ、24時間365日にわたって緊張感を持ち続けていては、さすがに疲弊してしまいますし、また、何も起こらないことの方が多い状況においては、緊張感を持ちづづけるよう求めるのも難しいと言えます。しかし、何もしなければ緊張感は緩んでいくばかりですから、時折、緊張感を復活させ、いざという時の瞬発力・対応力を衰えさせないような刺激を与えることは必要不可欠だと思います。
方法は色々あると思いますが、標的型攻撃メールの模擬訓練は、その方法の一つとして考えても有益な方法だと思います。
→次の記事へ( セキュリティ担当者の苦悩を解決する、新たなアプローチ )