強いセキュリティをつくる、プロのマインドセットとは？

セキュリティ対策をする際にめざすゴールは何でしょうか。敵が知能を持った攻撃者であること、デジタル技術が常に進化を続けていることから、セキュリティ対策には終わり(＝ゴール)がないことは自明ですね。でも、どのような状態であれば良いのか、その判断ができないと、セキュリティ関係者はみんな疲弊してしまいそうです。

理想的には、敵(攻撃者)の動き(脅威)を把握して、その対策が十分にできていると判断できれば良いということになります。ただし、脅威が十分に把握できているか、想定した脅威に対して有効に対策できているか、前回お話しした、認知バイアスや取り組む問題に答え(正解)がないことに留意しながら取り組むことが重要です。さらに、その時点で想定される脅威だけでなく、将来攻撃者が考え出す新たな脅威についても想定しておく必要があります。

脅威を網羅的に把握するため、その要因を、悪意ある攻撃者、意図しない人為的ミス、自然災害などの環境的要因の３つに分類をするという手法があります。ただし、あくまでも分類として網羅したのであって、すべての脅威を掌握できたわけではありません。それぞれの分類に対して具体的な脅威を想定する必要がありますが、もちろんすべての脅威を導き出すことは不可能です。そのため、攻撃側の最新動向を把握する、攻撃者の特性や意図を整理するなどにより、優先的に対策すべき脅威を確実にリストアップする工夫が必要となってきます。

想定された脅威に対して対策を行う上で、机上検討やベンダーからの提案資料を鵜呑みにしただけでは、有効な対策となっていないケースが生じます。そのためには、現場の視点に立つことが必要です。ペネトレーションテストなどの活用や、ツールを用いた設定確認など、構築した者とは別の視点で現場の確認をすることが有効です。

セキュリティは、デジタル社会において攻撃者と対峙し、進化するデジタル技術の習得を競うルール無用の総合格闘技ととらえることができます。単なる技術だけではなく、運用、法制度、人間心理といったさまざまな非技術分野を含む専門的な知見が必要です。

現実的には一人の人間がすべての専門分野に精通することは不可能であり、それぞれの分野の専門家がチームとして協力する必要があります。そのためには、他の専門分野への理解を深め、セキュリティに関する世界観を共有し、リスクに対する現状認識や対策の有効性についてコミュニケーションをとる必要があります。攻撃者もチームワークを駆使してきますので、うかうかしていられません。

デジタル社会の進化に伴い、それぞれの組織による単独のセキュリティ対策ではなく、社会全体での対策が求められるようになってきています。チームメンバーは専門家だけではありません。

例えば、サプライチェーンを構成する組織において、従来の組織ごとの資産ベースではリスクが過小評価される可能性があります。前回リスクの考え方のアップデートのお話をした通り、サプライチェーンにより得られた付加価値を守る、すなわちサプライチェーン全体に対する影響度という視点が必要になります。そこで、攻撃者が容易に攻撃できるようになった状況を踏まえ、サプライチェーンを構成する中小企業を含めて、サイバーハイジーン(セキュリティパッチを適用する、パスワードの強度を確保するといった衛生的な状態を保つこと)を適用するといったチームワークが求められています。

また、攻撃者は法律などのルールを無視し防御者は順守するため、防御側が不利ではないかという考えもあると思います。視野を広げてみると、社会における法律や仕組みは、「防御側が攻撃者を追い詰める武器」と考えることができます。社会全体として攻撃者に対峙する壮大なゲームが繰り広げられている訳です。そのような法制度を立案・展開する専門家もチームメンバーです。仮に、破った側が得をする法制度があれば、武器としてうまく設計されていないということになり、デジタル社会が成熟する過程で見直していく必要があるでしょう。

以上、３回にわたり、セキュリティの世界観とセキュリティに取り組む際の考え方を紹介してきました。デジタル社会の一員としてデジタル社会をチームで守る、セキュリティはそんなやりがいがあり面白い仕事と思います。ぜひ、それぞれの専門性をきわめてチームとしてデジタル社会の発展に貢献していきましょう。