セキュリティ対策の分類と違い

 2017.09.06 Secure Enterpriseポータル

企業のセキュリティ対策は、大まかに「技術」「物理」「人」という3つの要素に分解し、考えることができます。これらはいずれも、堅牢なセキュリティ対策を講じるために必要であり、基本でもあります。

まず「技術」はウイルス対策ソフトやファイアウォールといった、セキュリティ関連ツールを指します。もちろん、前述の基本的なセキュリティツールツールだけでなく、もっと広範囲な技術を指すものです。

「物理」とは、オフィスへの入退室や施錠管理、社用デバイスやUSBメモリの利用規則など、物理的な面から行えるセキュリティ対策です。

最後の「人」は、社員各人がセキュリティ規則を守り、コンプライアンスを維持するためのセキュリティ対策となります。

今回はこれら、セキュリティ対策の3つの分類に焦点を当て、企業セキュリティについて考えていきたいと思います。

「技術」のセキュリティ

最初に明確にしておきたいことが、「セキュリティに100%はない」ということです。セキュリティ業界では度々耳にする言葉であり、現状の企業セキュリティを表しています。

日々、高度化・巧妙化するサイバー攻撃を前に、如何なるサイバー攻撃も阻止するようなセキュリティツールは、残念ながら存在しません。結果として「サイバー攻撃を許したことがない」というセキュリティツールは存在するかもしれません。しかし、それはあくまで「結果論」です。

企業のセキュリティ対策を強化したいという要望があれば、「セキュリティに100%はない」と考えておくことが賢明です。だからこそ、多様なサイバー攻撃から情報を守るために、多様なセキュリティツールが必要となります。

ちなみに、企業が導入するセキュリティツールには、次のようなものがあります。

≪主なセキュリティツール≫

  • ウイルス対策ソフト…マルウェアの感染を防ぐため、端末やネットワークを定期的にスキャンし、悪質なプログラムをかぎ分ける
  • ファイアウォール…ネットワーク間の通信を制御し、悪質な通信をロックする
  • IPS/IDS…ネットワーク内の通信を監視し、悪質な通信を検知・ブロックする
  • WAF…HTTP通信の内容を精査し、Webサイトに対する悪質なアクセスをブロックする
  • サンドボックス…仮想的に隔離された空間でファイルを実行し、マルウェアに感染していないか確認する
  • 次世代ファイアウォール…通信だけでなく、アプリケーション単位で通信を制御する

この他にも、多様なセキュリティツールが提供されており、それぞれに得意とする防御範囲が異なります。たとえば、基本セキュリティの一つであるファイアウォールやIPS/IDSは、Webサイトに対する不正通信に対して、その検知性能を十分に発揮できません。

一方WAFは、Webサイト(Webアプリケーション)に対する不正通信を見分け、ブロックすることができます。このため、SQLインジェクションやクロスサイトスクリプティングといった、悪質なサイバー攻撃に対応可能です。

大切なのは、「必要に応じて、必要なセキュリティツール」を導入することです。すべてのセキュリティツールを導入する必要はありません。まずは、自社のシステムセキュリティ環境を整理した上で、足りない部分を補うという形で、セキュリティツールを検討することが重要です。

「物理」のセキュリティ

皆さんは、企業の情報漏えい事件の原因が、何にあるとお考えでしょうか?多くの方が、サイバー攻撃の被害に遭い、泣く泣く情報漏えいしてしまった、と考えているのではないでしょうか。しかし、実際は違い、情報漏えい事件の約半数が「ヒューマンエラー」によるものです。

JNSA(日本ネットワークセキュリティ協会)のレポートによれば、2016年に発生した情報漏えい事件468件に対し、「管理ミス」で発生したものが159件、「誤操作」で発生したものが73件と、全体の49.5%が人員のミスによるものだと分かります。

引用:JNSA「2016年情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~

ちなみに同レポートによると、2016年の個人情報漏えい件数は1,396万5,227人と、前年比901万人増と、急激に拡大しています。

この他にも、「情報漏えいの原因の大半がヒューマンエラーだ」というレポートは多く、いかに「物理」セキュリティが重要かを物語っています。

「物理」セキュリティで最も大切なことは、PCやタブレットなどの端末、USBメモリなどの記憶装置の利用規則を明確に作り、それを周囲に徹底させること。それと、オフィスの施錠や紙文書管理の細かく規定することにあります。

物理環境から徹底したセキュリティ対策に取り組めば、情報漏えいのリスクは大幅に減少します。しかし、「技術」セキュリティのようにコストやセキュリティ人材だけの問題ではないため、徹底が難しいという一面もあります。

「人」のセキュリティ

セキュリティ対策を堅牢にできるか否か。それは結局のところ、「人」の行動によるところが大きいのが、セキュリティ対策の難しい部分です。いくら強力なセキュリティ対策を講じていても、社員がマルウェア感染メールを簡単に開いてしまえば、セキュリティ対策が嘘のように情報漏えいが起きてしまうこともあります。

このため、「技術」セキュリティも「物理」セキュリティも、「人」のセキュリティありきのものと考えなければなりません。

「人」のセキュリティとはいわば、社員各人が高いセキュリティ意識を持った行動を促すための対策だと言えます。その最も代表的な施策が「セキュリティ教育」です。

情報漏えいにより、企業と組織がどれほどの不利益を得るのか、個人がどれほどの責任を追わなければならないのか、情報漏えいを起こさないためにはどのような行動を心がけるべきなのかなど、セキュリティに関する知識を徹底して叩き込みます。

まずは、社員各人が、サイバー攻撃とセキュリティについて深く理解しなければ、自主的なセキュリティ行動を促すことはできません。その上で、整備されたルールのもと、セキュリティを意識した行動を徹底させる必要があります。

つまり、「人」のセキュリティで最も重要なことは「理解と協力」です。あくまで、セキュリティを意識した行動を強要するのではなく、社員各人が自主的に行動するよう促すことがポイントとなります。

そのためには、企業自体がセキュリティに対する誠実な態度を示し、それを末端まで浸透させるという取り組みが大切です。

まとめ

いかがでしょうか?堅牢なセキュリティとは、「技術」「物理」「人」の3つの要素が揃い、初めて実現するものだということを、理解していただけたのではないかと思います。3つの要素はそれぞれが密接な関係にあり、補い合っています。このため、どれか一つではなく、やはりすべて揃うことが、企業のセキュリティ対策を強化することに繋がるのです。

これを機に、「技術」「物理」「人」という3つの視点から、自社のセキュリティ対策について見つめ直してみてください。いずれか一つでも十分ではないと判断したら、それは自社のセキュリティ対策を強化する余地が、まだまだあるということです。