少人数でインフラやネットワーク、端末の整備など、あらゆる業務に対応したり、少ない予算をやりくりしてセキュリティ対策ツールの運用をしたり、中堅・中小企業の情シスの悩みがつきることはない。本連載では、セキュリティ専門家として活躍する辻 伸弘氏と、「piyolog」運営者piyokango氏、そして情報システム担当者として豊富な経験を持つ熱海 徹氏を招き、中堅・中小企業の情シスがいますべきセキュリティ対策について、自由に意見を交わしてもらった。第1回では、コロナ禍によって、情シスが本来であれば日ごろの対策としてやっておくべきであった対策が明らかになった。第2回では、情シスが実際に対策を行う際に課題になることとして、人的なリソース不足を取りあげ、リソースの活用法について、話を聞いた。
プリンシパルセキュリティ
リサーチャー
辻 伸弘氏
( https://piyolog.hatenadiary.jp/ )運営者
piyokango氏
サイバーセキュリティ事業本部
上席フェロー
熱海 徹氏
“己を知る”ことが効率的かつ効果的なセキュリティ対策の第一歩に
辻氏:とりわけ中堅・中小企業では、ヒト・モノ・カネといったリソースが限られている傾向が強いですから、セキュリティ対策にしても、いまあるリソースを最大限に有効活用することが求められますよね。そこで大切なのが、さまざまなセキュリティ対策を行ううえで、自分たちの持っているリソースでカバーできるのか、それとも外部に任せるべきなのかを判断するために、まずは己を知ることでしょう。
実際、最近では外部に頼らずとも自分たちの持っているリソースだけでできることも増えています。たとえば、Windowsのある機能をオンにするだけで堅牢化することができるといったケースは、結構あるんです。また、ある脅威に対して、システムの設定を変更して防御するといったアプローチもあります。脅威とその対策法が自分たちの業務にどのような影響があるのか、さらにはそこにどのぐらいのリソースを費やせるのかまで含めて知ることが、“カネ”をかけるかどうかの判断材料としてまずは必要なのではないでしょうか。
さっきもあったEmotetのようなマルウェアを例にすると、Wordマクロの実行を無効化さえしていれば、たとえファイルを開いてしまっても感染はしません。ならば、マクロを含んだWordを含むOfficeファイルの外部とのやり取りが業務において発生するのはどこの部署なのかをまずは見極めて、そこだけマクロの実行を許可するだけでも、攻撃のポイントはぐっと減らせますよね。また、業務のなかで外部とのマクロを含むファイルのやり取りがないのであれば、すべて禁止することも可能な場合もありますし、実際に行っている組織の方とお話したこともあります。これも“己を知る”ことであり、己について理解していれば、特定の脅威に対して右往左往したり一喜一憂したりする必要はなくなるはずなのです。
そして、こうしたアプローチには、多少の手間はかかっても直接的なカネはほぼかかりません。つまりサイバー攻撃の手口を知るということは、自分たちに有効な対策とそこに費やすべきリソースについて知ることでもあるわけです。
熱海氏:おっしゃるとおり、まずは社内の業務の見える化が大事で、そうした棚卸しをしていくなかで、守るべき自社の重要資源はどこにあるのかなど、防御のポイントも見つかってくるはずですよね。そうすれば、ある部署・拠点についてはネットワークを完全分離して外部の攻撃から守らねばならないけど、そのほかの部署・拠点についてはネットワークを共通化してもいいなど、最も効率的で効果的なアプローチも見えてくることでしょう。
経営層との信頼関係をいかに築くかがセキュリティ強化への第一歩に
辻氏:熱海さんにお聞きしたいのですが、今回のEmotetの対策にしても、一部のセキュリティ専門家はかなり前から“マクロを止めてしまえばいいじゃない”と訴え続けているものの、攻撃の手口を知らないのか、実際に実行している企業は少ないという印象です。情シスのご経験からお伺いできればと思うのですが、攻撃を根本的に止めるには運用方法を変えなければいけないとなると、ハードルが高いのでしょうか?
熱海氏:直接の答えにはなっていないかもしれませんが、わたしがいたのは放送局でしたので、24時間365日、常にネットアクセスをブロックしてはいけないという運用上の制限があるなかで、被害防止の観点からネットワーク通信の遮断を優先しますが、その場合、「マクロのスクリプトを停止しないと……」などと経営層に説明しても「そんなことは聞いていない」と理解してもらえないことが多いんです。そこで「不正な通信が見つかったので運用を停止してしまいました」のように、実態とは微妙に異なってはいても、極端かつシンプルな判断理由の方が経営層には説明しやすく、納得も得られやすいんです。
辻氏:なるほど、やはりセキュリティの実態と経営層への説明との板挟みの面も強いということですよね。
熱海氏:はい。経営層を説得することを想定して、つじつまを合わせるために言い訳を考えている部分は、否定できないのが現実です。
piyokango氏:経営層や現場との距離感ってとても大事ですよね。そして距離を縮めるためには、やはり日ごろからコミュニケーションをとるしかないでしょう。先ほどのマクロを止めるといった対策にしても、普段から信頼関係を構築できていれば、承諾も得られやすいはずですよね。
それができていないと、やれ他社はどうしているのかだとか、製品を使ってなんとかならないのかなど、自社に最適な対策からかけ離れたものになってしまいます。つまり、リソースが限られている組織であるほど、情シスは普段から経営層や現場との関係性を築いておくことが重要になってくるでしょうね。
辻氏:そこでカギになるのが、やはり情シスに対する信用・信頼ですよね。
熱海氏:まさしくそこが大事だと思います。どうしても情シスというのは「あれをやっちゃダメ、これをやっちゃダメ」と、なにかと制限してしまうことが多いのですが、なぜダメなのかを日ごろからきちんと説明し、理解してもらうことが大事です。それができていないと、経営層としては「これだけお金をかけたなら、一生被害に遭わないんだよね?」といったトンチンカンな解釈をされやすいんです。普段から密にコミュニケーションをとって信用・信頼が得られていれば、「○○が言うのならばそうしよう」と、素直に納得してもらいやすいのです。
辻氏:経営層と情シス、そしてエンドユーザーの三者間の人としてのつながりを強固にして、お互いを理解しあえる土台をつくることは、セキュリティ対策はもちろんのこと、IT活用全般における基本中の基本と言えるでしょうね。
第2回では、限られた情シスのリソースをどのように活用するか考えるにあたり、まずは「己を知っておくこと」と「人と人とのつながりを持っておくこと」が重要であるとわかった。最終回となる第3回では、情シス以外の働くすべての社員・経営者が、セキュリティ対策についてどのような姿勢を持つべきか、紹介していく。