セキュリティ対策マップの活用

 2017.09.26  Secure Enterprise編集部

セキュリティ製品入れ替え小噺(こばなし)

A社ではファイアウォール導入から5年が経過したので、入れ替えを検討している。セキュリティ担当者のBさんは、新しいファイアウォール選定のためにセキュリティ会社の担当者を呼んだところ、次のように説明された。

「当社では、2種類のファイアウォール製品を用意しています。一つは一般的な機能を備えてもので、もう一方はUTM(統合脅威管理)機能を備えているため、同時にアンチウイルス機能も導入できます。セキュリティ対策に関するガイドラインでは『複数のセキュリティ会社が提供する、セキュリティ対策ツールの利用を検討するように』とあります。」

この説明を受け、Bさんは経営者に相談したところ、「うちでは端末ごとにウイルス対策ソフトを導入している。しかし、ガイドラインにそう記されているのなら、有効性を検討しなさい」と返答があった。

Bさんは悩んだ。確かに、2製品でウイルス対策を行えば、セキュリティ強度は向上する。しかし、果たして自社のセキュリティレベルで、同じ機能を持つセキュリティ製品を、2つ導入する必要はあるのか?と。セキュリティ会社の担当者が提示したガイドラインは、自社のセキュリティ環境を考慮したものなのだろうか。

多くの企業が自社セキュリティ環境についてあまり理解していない

上記の小噺を読み、自社も同じような悩みを抱えている、という企業はどれくらいあるでしょうか?「今後そうした悩みが発生しそう」という意見も含めれば、かなりの企業が同じような悩みを持っているのではないかと思います。

セキュリティ製品入れ替え時に、この製品は自社セキュリティ環境に妥当か?過剰防御ではないか?結局、どの製品が最適なのか?と、悩みの沼にはまり、身動きが取れなくなることは少なくありません。

その原因は一つ。自社セキュリティ環境について、理解が足りないためです。

どのセキュリティ製品を導入しているかを把握していても、各製品がどの領域を防御し、どのようなネットワークを構成しているかを把握していなければ、自社セキュリティ環境について何も知らないのと同義です。

こうした悩みを解決するためには、現状のセキュリティリスクを、取り得る対策の関係について記述する方法が必要となります。それが「セキュリティ対策マップ」です。

セキュリティ対策マップとは?

「組織図」や「業務プロセス図」を作成しない企業はいないかと思います。これらは、組織内の関係や業務の流れを表すために最適なツールであり、それぞれを直感で理解できるため、業務遂行に大いに役立ちます。

セキュリティ対策マップとは、いわばセキュリティ対策版の「組織図」や「業務プロセス図」です。自社のセキュリティ環境を図で表すことによって、セキュリティ製品と業務システムの関係、防御範囲など、セキュリティ対策に関する様々な相関関係を理解できます。

ちなみに、セキュリティ対策マップの利用を推進しているのは「NPO日本ネットワークセキュリティ協会で、ネットワークセキュリティに関する啓発、教育、調査研究及び情報提供に関する事業を行っています。

今回は、このNPO日本ネットワークセキュリティ協会が推奨する、セキュリティ対策マップの図法を、いくつか紹介します。

家庭のセキュリティ対策マップで分かりやすく理解する

まずは、NPO日本ネットワークセキュリティ協会が「2013年度情報セキュリティ対策マップWG活動報告書」で紹介している、家庭のセキュリティ対策マップと自動車のセキュリティ対策マップを見てみましょう。

家庭/自動車のセキュリティ対策マップ

家庭自動車のセキュリティ対策マップ.png

このセキュリティ対策マップ作成例は、家庭にある一般的なネットワーク機器を用いて作成してているため、セキュリティ対策マップの概要を知るために有効です。

まず、各端末やネットワーク機器がどのように接続されているかが記述され、さらに各機器に施されたセキュリティ対策が表示されています。これにより、ネットワークつがどのように構成され、セキュリティ対策がどのように施されているのかが直感で理解できます。

こうしたセキュリティ対策マップを、企業が利用するオンラインストレージで作成すると、次のようになります。

オンラインストレージのセキュリティ対策マップ

オンラインストレージのセキュリティ対策マップ.png

いかがでしょうか?なんとなく、セキュリティ対策マップの概要と、有効性を理解していただけたのではないかと思います。

「三途の川図法」で、必要なセキュリティ対策を洗い出す

「三途の川図法」とは、セキュリティ対策を「目的界」と「手段界」にワケ、具体的なセキュリティ対策を洗い出すための図法です。

三途の川図法「マルウェア対策」

マルウェア対策のツリー図.png

まず、真ん中に一本線を引き、左側の目的界に「目的」に近いカード、右側の手段界に「手段」に近いカードを置きます。ポイントは、最初に対策対象となるものを決め、目的界の上位目的から要素分解していくことです。

上記の図では、「マルウェア対策」という最上位の目的があり、そこから右に分解していき、さらに手段界へと流れていきます。境界線に近いところでは細かい要素が発生しており、最終的には数個の最上位手段へとまとめられていきます。

この三途の川図法により、「マルウェア対策」というたった一つの目的から、9つの具体的な対策手段があることが分かります。

もしも、「マルウェア対策」という議題をかかげ、複数人でテーブルを囲み議論し合っているだけならば、ここまで具体的な対策案は出なかったでしょう。このように、図式化することでセキュリティ対策について掘り下げて考えることができ、今後取るべきセキュリティ対策について具体的に知ることができます。

セキュリティ対策マップを積極的に活用しましょう

セキュリティ対策マップというのは、特定の図法を指すものではありません。むしろ、企業独自のセキュリティ対策マップを作成し、自社のセキュリティ環境の理解に務めることで、組織全体がセキュリティ対策について深く理解し、より高度なセキュリティ対策を講じることに繋がります。

そのために、まずはここで紹介したセキュリティ対策マップを実際に作成してみて、適宜自社独自のカスタマイズしてみることをおすすめします。

セキュリティ対策マップを活用できるようになれば、セキュリティ強度は確実に上がります。自社のセキュリティ環境について理解していれば、自然と次の一手を知ることができるためです。

まとめ

いかがでしょうか?現在、自社のセキュリティ対策をどのように強化すればいいのか分からない、と悩んでいるセキュリティ対策担当者や経営者の皆さん。原因は、情報セキュリティ人材が不足しているからではありません。自社セキュリティ環境に対する理解が足りないために、どう強化していいかが見えないからです。

ここで紹介したセキュリティ対策マップは、専門家でなくとも作成できます。まずは、簡単なセキュリティ対策マップを作製してみて、自社のセキュリティ環境の理解に努めていただければと思います。

また、セキュリティベンダーが提供している各種脆弱性診断のサービスを利用するのも、具体的な対策をすすめる上では効果的です。

日々のセキュリティ対策にお役立てください。

情報漏えい対策簡易マニュアル

本ブログ記事は、セキュリティに関する一般的な内容を掲載しています。シマンテック クラウド型WAF製品はウェブの情報漏えい対策に有効なソリューションですが、すべてのサイバー攻撃に対応できるものではありません。シマンテック クラウド型WAF製品についてご不明な点がございましたら、こちらのお問い合わせフォームよりご連絡ください。

RECOMMEND関連記事


RECENT POST「最新動向」の最新記事


この記事が気に入ったらいいねしよう!
WAF賢い選び方ガイド