サイバーセキュリティへの最適アプローチに関する考察

サイバーセキュリティはあらゆるビジネスにとって重大な課題ですが、パニックに陥る必要はありません。効果的な取り組み方法は存在します。

ですが、「サイバーセキュリティに関して、どんなアプローチが最適ですか？」という質問は、ビジネスの内容がわからない限り、「文字列の長さはどれくらいですか？」と尋ねるのと同じです。読み手に特定の製品を購入させようとして、公表された違反統計調査を引用し、恐怖心を起こさせるような言い方をするライターもいるでしょう。あるいは、ある形態の攻撃が他の攻撃より危険であるという個人的な信念を主張するための引用かもしれません。

セキュリティ対策は、その組織にとって費用がかかり過ぎず、サポートができ、維持できるものである必要があります。筆者自身は、Windowsのデフォルトのウイルス対策とマルウェア対策ソリューションと、ファイアウォールを提供するルーターを使うとともに、自らのセキュリティ意識を研ぎ澄ませることをセキュリティ対策としています。これまでのところ侵害されたことはありませんが、それほど注目度の高いターゲットでもなく、筆者の業界はサイバー犯罪者にとって魅力的なわけでもありません。それでも、毎日50種類以上のフィッシング詐欺メールやマルウェアメールが届いています。

通常のファイルバックアップとディスクイメージのおかげで、最悪の場合には1時間もかからずにネットワーク全体を復元できるので、筆者自身のセキュリティに関してはあまり心配していません。

個人ではなく組織の場合は、もっと厳重なセキュリティ対策が必要でしょう。スタートアップ会社がサイバーセキュリティポリシーを検討するときには、どういった点を考慮すべきでしょうか？どんな組織にも適した既製のソリューションというものは存在するでしょうか？

細かく気を配り、かつクリエイティブに

サイバーセキュリティの専門家が専門用語を多用して議論すると、一般の人には大変難解に聞こえますが、専門用語を平易な言葉で言い換えれば、驚くほど複雑ということはありません。

「フットボールと同じで、ほとんど基本的なこと - ブロックし、タックルし、そしてファンブルしないこと – を徹底することに尽きます。つまり、丁寧にコーディングし、データサイエンスを思慮深く適用し、きちんと分析し、そして明確に文書化することです。情報技術の未来を予測するのは難しいので、基本部分を強化します。常にオープンであること、柔軟であること、異なる複数のアプローチを混在させることが大切です。いろいろな情報技術や情報セキュリティを、組織独自の事情に最適なように組み合わせることをお勧めします。」と、サイバーセキュリティ会社 Comodo の上級研究員とNATOサイバーセンターのアンバサダーである Kenneth Geers 氏は話します。

組織がサイバーセキュリティに取り組む場合、ポリシーを策定して全組織に展開する責任はIT部門にあります。サイバーセキュリティポリシー策定時には、必要があればコンサルタントに会って、どのようなオプションが組織に最適か、よく検討してください。次のような点について考慮することが推奨されます。

サイバーセキュリティの脅威に対するインフラストラクチャの監査

計画中またはすでに存在するインフラストラクチャの詳細（ワークステーション、サーバー、およびその他のハードウェアの数と仕様）を準備します。どのソフトウェアがインストールされているかも記載します。Belarc のような無料の監査ツールでも、この作業を支援できます。この情報が準備できれば、何を保護すべきかがわかり、セキュリティ強化が必要かどうか判定する材料になります。

1. 外部との接続

ブロードバンド接続、Wi-Fi、VoIP、およびモバイルデバイスの使用は、重要な考慮事項です。プライベートまたはパブリックのクラウド接続がある場合もセキュリティ対策を考えるべきです。

2. コンプライアンス

業界や地域に適用される特定の規制を遵守しなければなりません。サイバーセキュリティに関する規制の遵守は、サイバーセキュリティに関する計画をシンプルにするのに役立つかもしれません。

3. 分析と選択

インフラストラクチャの詳細情報をチェックして、サイバーセキュリティを高めるために組織に最も適切なソリューションは何かを検討します。ほとんどの場合、ウイルス対策とマルウェア対策は明らかな選択肢ですが、他にも多くの選択肢があります。選択に際しては、予算（ユーザ1人当たりのコスト）、必要な機能、既存の機器またはオペレーティングシステムとの相互運用性などを考慮に入れる必要があります。

最新のエンドポイント・テクノロジや機械学習を取り入れたりした優れたソリューションであっても、組織内の部門でサポートしたり設定したりすることができなければ、意味がありません。目標にすべきは、セキュリティ意識を高めるために定期的な技術トレーニングを行って、セキュリティへの認識が低いゆえの愚かな間違いをしないように留意するとともに、可能な限り自動化するといった地道な対策でしょう。

セキュリティ意識の向上

最高のサイバーセキュリティ・ソリューションや最も高価なサイバーセキュリティ・ソリューション（両者は必ずしも重複しません）を採用しても、万全ではありません。最大の脅威は何でしょうか？

「それは間違いなく人間にかかわることです。サイバースペースではすべてが非対称ですが、成功は教育、技術訓練、意識から始まります。どんなツールでも、人間次第で、好ましい目的にも好ましくない目的にも、利益が出るようにも損失を出すようにも、使うことができます。企業においては、全員が同じ譜面を見て演奏する必要があり、それは社員の気持ちを一つにする定期的なミーティングから始まります。」と、前述の Geers 氏は話します。

成功の鍵となるのは、潜在的な脅威に対するユーザーの認識です。

アラートとアップデートのメカニズムは大きく高速化されており、各ワークステーションに組み込まれた基本的なアンチウイルス・ソフトウェアは時代遅れにはなっていません。「アンチウイルスはセキュリティの基盤です。しかし、銀の弾丸 - 万全の解決策 – というものは存在しません。セキュリティを支える軸は、人とプロセス、そして組織の評価を最終的に左右する総体的な倫理観です。その点を踏まえた上で、やはり、アンチウィルスを最新の状態に保つことは大切です。」とGeers氏は述べています。ここでもう一度繰り返します：銀の弾丸 - 万全の解決策 – というものは存在しません。

理想的なセキュリティ対策のあり方について質問されたとき、Geers氏は孫子の言葉を引用しました。「孫子の兵法は、敵が来ない可能性に頼るのではなく、敵が攻撃してきたときのために備えておくことの重要性を指摘しています。攻撃されないかもしれないことに賭けることは危険で、自らを難攻不落の状態にしておくことが求められます。」

セキュリティ対策全体とセキュリティ侵害の試みは、１つのサイバー空間で戦う2つの拠点であるとみなすことができ、一方が脆弱性を悪用しようとし、他方が脆弱性を排除しようとしていると表現するのが適切かもしれません。