標的型メールは見抜くことが難しい。は誤りです

世間はまだまだ、誤解だらけ!セキュリティに関するこんな誤解(その1)

情報セキュリティに関するニュースを目にすることは多いですが・・・標的型攻撃に関するニュースなど、情報セキュリティに関する話題は枚挙にいとまがありません。新聞紙上でもちょくちょく目にする、セキュリティに関する話題ですが、世間一般の理解は?というと、まだまだ誤解がいっぱいのようです。

今回は、クライアントとの打ち合わせなどを通じて、筆者が実際に見聞した、セキュリティに関する誤解のひとつをご紹介します。

ウィルス付きのメールなんて、システムで防げるんじゃないの?

正直、この種の誤解をしている方は非常に多いです。

セキュリティ対策製品を出しているベンダーの宣伝文句が、まるでどんなウィルスでも防ぐことができるかのような、誤解を招くような表現になっていたりするので、筆者自身、クライアントとの打ち合わせの中で、実際にはシステムでは防ぎきれないケースもあることを説明したことが何度もあります。

セキュリティ対策製品を売りたい側は、販売の妨げになるようなマイナスの話題をわざわざ宣伝文句に入れることはありません。イイことしか書かないので、それだけを読んでしまうと、何も知らない人は、その製品を導入しさえすれば、何でも防げるものだと思ってしまいがちです。

しかし、実際にはそうとは限りません。何故、システムでは防ぎきれないか?というと、理由はすごく簡単です。

攻撃を仕掛ける側は、そのシステムを手に入れて、システムの裏をかく方法を研究することができるから。です。

攻撃対象者の手の内を見ることができる攻撃者側は断然有利

ベンダーが世間一般に販売しているセキュリティ対策製品は、攻撃を仕掛ける側の人たちも、ごく普通の一般のユーザーとして手に入れることができます。ベンダー側にしてみれば、ユーザが悪意を持っているかどうかなんて見分けようがないので、攻撃者側は難なく製品を手に入れることができてしまうというわけです。

製品さえ手に入れば、あとは、その製品に検知されないウィルスを作ればいいだけですから、攻撃者側からすればしめたものです。

こうして、攻撃者側はセキュリティ対策製品に検知されないウィルスを作れますが、逆にベンダー側は、攻撃者側が作成したウィルスを手に入れることはできないので、研究や対策のしようがありません。

ベンダー側は、攻撃者が作成したウィルスが実際に使用されることによって、そのウィルスを初めて手に入れることができますが、調査・研究はそこからようやくスタートできることになるので、有効な対策が用意できるまでには相応の時間がかかります。この間は当然無防備になってしまうので、攻撃者の標的にされた企業は、残念ながら、その餌食とならざるを得ません。

このようなことは、言われてみれば「ああ、そうか」と思うような当たり前のことですが、このような話を知らない方は実に多い。というのが現状です。

セキュリティベンダー側もさすがに商売なので、イイことしか言わないのは致し方ないところですが、ユーザ側は、そうした面があることを理解し、こと、セキュリティ対策に関しては、導入する製品・施策が、何に対する対策となりうるのか?また、その原理や仕組みはどのようなもので、どうしてそれが対策となりうるのか?をしっかり考える癖を持ちたいものです。

安全は誰かが保障してくれるもの。という考えは通用しなくなりつつある

普段の生活の中で起こる犯罪や争いについては、法律や警察が私たちを守ってくれます。スーパーで販売されている食品の安全は、メーカーやスーパーが保証してくれます。

たまに不届き者が居たりしますが、基本的には、誰かが安全な環境を提供してくれる仕組みがあるからこそ、私たちは安心して暮らせるわけですが、情報セキュリティもそうか?というと、実はそうではありません。

しかし、日本においては、総じて安全が保障されているがゆえに、セキュリティについても、誰かが安全を保障してくれるもの。という意識があるように思えます。

例えば、前述のセキュリティ対策製品であれば、製品ベンダーが与り知らない未知の脆弱性を突いた攻撃には、さすがの製品も対処しようがありませんが、そうした攻撃による被害を防ぐことは、製品ベンダーの責任と言えるでしょうか?

また、情報セキュリティに関する知識を十分に持たない社員が、「便利だから」という理由で不用意にフリーソフトをダウンロードし、業務用PCにインストールしてウィルスに感染してしまうといった事態は、そのような事態が起こることを防ぐ仕組みを導入していなかったシステム担当者の責任と言い切れるでしょうか?

システム担当でない方と話をすると、「セキュリティについては、システム担当がしっかりやってくれているんじゃないですかね」といった主旨の言葉を聞くことがあります。

この言葉の裏に隠れているのは、「どんな対策をやっているのかは私自身知らないが、多分、システム担当がちゃんとやってくれているんでしょう。」という考えです。

一昔前ならば、ウィルス対策ソフトを入れておけばそれで済んだので、セキュリティ対策も、システム担当者の手に負える範囲で済んだでしょうが、ネットワークに接続するデバイスや、提供されるサービスが爆発的に増え、使われるネットワーク技術も多様化・複雑化した現状では、セキュリティ対策はもはや、システム担当者ひとりの手に負える範囲を越える状況になってきてしまっている。ということを、私たちは知る必要があります。

担当者一人の手には負えないのであれば、チームを構成して脅威に立ち向かうしかありませんが、チームを構成できるだけの複数の専任者を割り当てることができる余裕のある企業はともかく、その余裕がない企業(恐らくはこちらの方が圧倒的に多いでしょう)はどうすればいいでしょうか?

少なくとも、セキュリティ対策はシステム担当に任せておけばいい。という考えでいてはいけない。ということは言えるはずです。

安全はタダではない。お金を出すか?自力で守るか?どちらを選択しますか?

情報セキュリティを取り巻く状況は、今後ますます多様化・複雑化していきます。面倒なセキュリティ対策は誰かに任せたい。というニーズは、益々高まっていくと思いますし、それに応えようとするサービスも登場してくると思いますが、ワンストップで全ての脅威を退けてくれるような、そんな夢のようなサービスが登場するようなことは、状況の複雑さから考えて、恐らくはないでしょう。

個々のセキュリティ対策製品やサービスは、ある脅威には対応できるが、別の脅威には対応できない。となれば、複数の製品やサービスを組み合わせてカバーするしかありません。それらを全て他者任せにして安心を得ようとすれば、高額な費用が必要になるであろうことは自明の理です。

情報セキュリティにおける安全の確保はタダではありません。
お金をかけるか?それとも、自力で守るか?

いずれにしても、安全は誰かが守ってくれるもの。として、他力本願の意識のままでいれば、お金がかかることになるのは間違いありません。セキュリティ対策について、青天井とも言われるコストをかけたくないと考えるなら、まずは組織全体が、他力本願の思想を持つことがないようにすることでしょう。

自分でできることがあれば、それはお金を払って他人にお願いしなくてもよくなります。
自分でできることと、他者に任せるべきことの見極めをしっかりやる。

これはセキュリティ対策に限らず、ビジネスの基本とも言えることです。組織に属する各メンバーが、これを意識的に行う習慣を身につけたとしたら、そのような組織は、きっと、高いパフォーマンスを発揮する組織になるのではないでしょうか?

←前の記事へ(
→次の記事へ(
サブコンテンツ