セキュリティ対策ソフト無料版の効果は?

 2017.09.25  Secure Enterprise編集部

セキュリティ対策ツールを導入し、ひとまず情報漏えいの心配はない。あとは、社内のセキュリティ対策の意識を高め、内部要因を排除すれば完璧だ。
と、考えてしまってはいませんか?

たとえセキュリティ対策ツールを導入しても、情報漏えい被害に遭う企業は数え切れません。それは、適切な運用管理が行えていなかったり、「セキュリティ対策ツールがあるから」という油断から起こるものです。

情報セキュリティ界ではよく、「セキュリティに100%はない」という言葉を見聞きします。攻撃者は常に、あの手この手と手法を変えてサイバー攻撃を実行するため、セキュリティ対策はいつも後手に回っている状態です。

今年5月には新種のランサムウェア「Wanna Cry」によって、セキュリティ対策を確実に講じていた企業や政府機関も、広く被害に遭いました。

参考:読売オンライン「ランサムウェア「WannaCry」流行の理由

セキュリティ対策ツールを導入しても、決して安心してはいけません。大切なのは、導入後の運用です。如何に適切な運用を行うかで、その企業のセキュリティ強度が変わります。

そこで今回は、セキュリティ対策のアップデートや管理など、運用に関するお話をしていきます。

アップデート非対応は、脆弱性が丸出し?

セキュリティ対策ツールを提供している事業者が、アップデートを行う理由は2つあります。一つは「より使いやすいシステムにするため」。もう一つは、「発見した脆弱性を修正するため」です。

ちなみに脆弱性とは、システム設計の際に発生する「セキュリティ上の弱点」であり、ほとんどのサイバー攻撃者は、システムの脆弱性を狙って実行します。

たとえばWebアプリケーションに「SQLインジェクション」という脆弱性があれば、Webサイトの入力フォームに不正文字列を入力され、データベースを操作された挙句、会員情報などの個人情報を流出してしまいます。

「脆弱性がある」ということは、イコール「高いセキュリティリスクがある」ということです。

このため、多くの企業がセキュリティ対策ツールを導入することで、社内システムの脆弱性をカバーするわけです。しかし、セキュリティ対策ツール自体に、脆弱性が潜んでいることもあります。

だからこそ、脆弱性修正プログラムが含まれているアップデートに、即座に対応する必要があるのです。

最新のセキュリティを保てなくなる

アップデートに対応しないことでの危険性はもう一つあります。

「ウイルス対策ソフト」を例に挙げると、このソフトウェアは「シグネチャファイル」と呼ばれる、無数のマルウェアパターンを定義したファイルによって、マルウェアを判別し該当したものを排除します。よって、シグネチャファイルは常に最新の状態でないと、新種のマルウェアに対応できない可能性があります。

このように、アップデートに対応しないことで最新のセキュリティを保てなくなり、結果としてセキュリティリスクが増大してしまうのです。

セキュリティ対策ツールの管理問題とは

定期的なアップデートに都度対応したり、監視ログを確認したりと、セキュリティ対策ツールには多くの管理が必要です。しかし、この管理を適切に行えない理由が、いくつかあります。

その理由の大半が「IT人材不足」です。特に、中小企業でのIT人材不足は深刻で、現在では国を挙げてIT人材育成に取り組んでいます。

経済産業省が発表した「IT人材の最新動向と将来推計に関する調査結果」によると、2015年時点でのIT人事不足は17万700人もおり、2030年にはその数が79万人(高位シナリオ)にも上るとされています。

ちなみに、2016年時点での情報セキュリティ人材不足は13万2,060人です。

このように、日本は現在慢性的なIT人材不足という状況下にあり、この影響を最も受けているのが中小企業です。容易に人員増加ができない中小企業では、IT人材を確保することが難しく、その状況は年々深刻化しています。

IT人材が不足するということは、その分システム管理に手が回らなくなるということです。その場合、優先的に切り捨てられるのが「セキュリティ対策ツールの管理」です。

経営上、業務システムを止めるわけにはいかないので、不足しているIT人材のほとんどを業務システム管理に回します。そうした必然的に、セキュリティ対策ツールの管理まで手が回らなくなるのです。

その結果、定期的なアップデートに対応できなくなったり、監視ログの確認ができないため、セキュリティ強度が下がり、最終的には情報漏えいなどのセキュリティインシデント(事件)が発生します。

IT人材不足問題を解消しつつ、セキュリティ対策を強化するためには

上記の問題を踏まえ、多くの中小企業で課題となるのが「IT人材不足を解消しつつ、セキュリティ強化を図る施策」です。単純に考えればIT人材を新たに確保するという施策が有効です。しかし、前述のとおり、中小企業では簡単に人員増加できない理由があります。

そこで、現状のIT人材のまま、「セキュリティ対策ツールの運用負荷を如何に下げ、かつ堅牢なセキュリティ対策を維持するか」という視点に切り替えることが大切です。

これならば、有効な方法が一つあります。それは、「クラウド型セキュリティ対策ツールを導入する」ことです。

「クラウド」とはインターネット上で提供されるサービスの総称で、オンラインストレージやIaaS/PaaSなど、すでに何らかの形でクラウドを利用している企業は多いかと思います。

クラウド型セキュリティ対策ツールを導入する最大のメリットは、低い導入コストと少ない運用負担です。

インターネット上で提供されるということで、社内のインフラを整える必要がありません。サーバ購入もないので、その分導入コストを大幅に抑えることができます。さらに、パラメータ設定も少なく、迅速な導入が可能です。

導入後の運用に関しては、ユーザー企業はほとんど「ノータッチ」でシステムを利用できます。クラウド型セキュリティ対策ツールは、提供事業者が運用しているシステムをインターネット上で利用するものなので、ユーザー企業側でのシステム運用が不要なのです。

もちろん、監視ログを確認したり、セキュリティ強度を維持するための活動は必要です。しかし、「システム運用がない」というだけで、IT人材不足を補うことができます。

まとめ

情報セキュリティは一瞬の油断がスキを作り、そこからセキュリティインシデントが発生します。ですので、セキュリティ対策ツールを導入したからといって安心せず、「セキュリティに100%はない」という考えを念頭に置き、今後のセキュリティ対策について考えていただきたいと思います。

IT人材不足という問題を抱えていて、セキュリティ対策ツールの管理まで手が回らないという企業は、クラウド型セキュリティ対策ツールの導入を積極的に検討しましょう。

情報漏えい対策簡易マニュアル

本ブログ記事は、セキュリティに関する一般的な内容を掲載しています。シマンテック クラウド型WAF製品はウェブの情報漏えい対策に有効なソリューションですが、すべてのサイバー攻撃に対応できるものではありません。シマンテック クラウド型WAF製品についてご不明な点がございましたら、こちらのお問い合わせフォームよりご連絡ください。

RECOMMEND関連記事


RECENT POST「最新動向」の最新記事


この記事が気に入ったらいいねしよう!
WAF賢い選び方ガイド