今「デジタル時代の城を築く」ことが求められている

　2015年5月に発生した日本年金機構の情報漏えい事件は記憶に新しい。同機構がサイバー攻撃の標的にされたことで、100万件以上の個人情報が漏えいしてしまった。国の運営や企業のビジネス活動に大きな打撃を与えるものだ。

　また2014年7月には、ベネッセコーポレーションが内部不正による個人情報の流出事件を起こし、昨年連日マスコミを賑わせた。企業の監督責任が強く問われる時代になってきている。

　さらに2016年1月からはマイナンバー制度の運用が始まり、個人情報保護法の改正も進んでいる。企業には新たな法規制への対応が迫られており、また市場拡大を図ってグローバル化を展開していく時には、海外での統制をどう利かしていけばいいのかという悩ましい問題がある。

　一方で、技術は凄まじい勢いで進化しており、モバイル、クラウド、ソーシャル、ビッグデータといった新しいテクノロジがITインフラをどんどん変えていっている。そこで新たに出てくるセキュリティ上の課題をどうすればいいのか。

　ここで1つのアイデアがある。それが日本の城の守りに見立てる「多層防御（Defense in Depth）」の考え方だ。本稿の結論を先に言えば「デジタル時代の城を築こう」ということであり、その際のポイントは4つある。

　まず1つめが「縄張」だ。昔は築城時、壁を作る前に縄を張って城を設計した。そこから縄張りという言葉が生まれたが、要はセキュリティ対策のデザインをするという話で、人の役割や責任を定義することも含まれる。今の時代、これはガバナンスと呼ばれる。

　この土台をしっかりと作った上で、次に「石垣」を造る。ここでいう石は、ファイアウォールやIPS（侵入防止システム）など個々のセキュリティソリューションを指すが、この時、適当に石を持ってきて積めばいいということではない。古い石もあれば新しい石もあり、これらを戦略的に、正しいプロセスで、正しい方法で積んでいくことが必要だ。

　こうして防御を固めたあと、次に高いところから敵の侵攻をよく見渡せるように「天守閣」を造る。これがSOC（セキュリティオペレーションセンター）で、ここでの活動を元に、その後の冷静な判断につなげていく。いわゆる「セキュリティインテリジェンス」だ。今はまさに天守閣が求められつつある時代だとガートナーでは見ている。

　そして4つめに「武者走」を作る。武者走とは、城内にまで攻め込まれた時に、武士が敵と有利に戦うために走り回る通路のことだ。今はサイバー攻撃を完全に防ぎ切ることは、ほぼ不可能だ。そこで攻撃を受けることを前提に、万一攻撃を受けた時には直ぐに応戦し、また城主に報告するための道をあらかじめ作っておく。事前の訓練も必要だ。これがインシデントレスポンスと呼ばれるもので、具体的な対応方法にはCSIRT（Computer Security Incident Response Team）の設置などが挙げられる。

ポリシーを明確にし、2タイプの石垣を造っていく

　それでは具体的に、外部からのサイバー攻撃に対する理想的な「城造り」について考えてみよう。


　サイバー攻撃は大きく2つに分類できる。1つめが従来型のトラディショナルなもので、企業が外部に公開したサーバをネット越しに攻撃するようなものだ。そしてもう1つが標的型攻撃のようなアドバンスドなもので、昨今増えているのがエンドポイントを狙ったもの、つまりエンドユーザーのPCを狙ったものだ。メールやWeb、USBなどを経由してユーザーのPCに入り込み、そこを足掛かりに企業システムを侵略していく。

　この両者に対するセキュリティ対策として、縄張、石垣、天守閣、武者走を築いていく。

【次ページ】天守閣にあたるSIEM実施済みは23.3％