ソリトンシステムズのサイバーセキュリティ 第1回 「日本企業は、なぜ現実感の無い『有事』のセキュリティ理想論を追うのか?」 | ScanNetSecurity
2024.05.07(火)

ソリトンシステムズのサイバーセキュリティ 第1回 「日本企業は、なぜ現実感の無い『有事』のセキュリティ理想論を追うのか?」

「 『有事』の経験をあまり持たない企業の場合、『有事』 『インシデント』という言葉に惑わされ、混乱に陥るケースも見受けられます。」

特集 特集
facebookLINE
PR
「海外製品だけでは満たせないニーズを埋めていくことができるのが強味」
「海外製品だけでは満たせないニーズを埋めていくことができるのが強味」 全 1 枚 拡大写真
“この製品があれば攻撃を100% 防御できます。”

昔はよく聞かれたセキュリティ製品のセールストークだが、いまこんな言葉がささやかれたら、それこそ100%ウソだろう。APTやゼロデイ脆弱性など、完璧な対策ができないことはすでに共通認識になっているからだ。

サイバー攻撃対策の舵取りがますます困難になる今日、技術力に裏打ちされた堅実なセキュリティ対策の提供に徹しようとしているのが、セキュリティベンダー ソリトンシステムズだ。

同社エバンジェリストとして、セキュリティ対策の普及啓発に取り組む荒木粧子氏に、過渡期にあるというサイバーセキュリティの現状について話を聞いた。


●経営課題と定義

経済産業省が「サイバーセキュリティ経営ガイドライン」を公表し、サイバーセキュリティリスクを経営層がリーダーシップをとって取り組むべき経営問題であると定義したのは、年金機構をはじめとするサイバー攻撃が吹き荒れた2015年の12月である。

ガイドラインは、系列企業やサプライチェーンも含めたサイバーセキュリティ対策の実施や、それに必要な予算・人材の確保、また事前対策だけでなくサイバー攻撃を受けた場合に備えた準備などに取り組むよう示しており、これまでと異なる、実践的で踏み込んだ内容となっている。

●『有事』の対策に気を取られ、事前対策の思考停止に陥る危険性

「経産省のガイドラインは、経営者の責任に言及したうえで、『有事』も想定した体制を作り、リスクコントロールを行うよう求めている点で画期的です。しかし、『有事』の経験をあまり持たない企業の場合、『有事』 『インシデント』という言葉に惑わされ、混乱に陥るケースも見受けられます。

『有事』について積極的な情報収集をなさっているお客様から、『マルウェア感染後に、○○という動きをした場合に検知ができる製品は?』といった非常に具体的なご質問を受けることも増えてきました。よくよくお話をお伺いすると、まだ感染予防策も十分ではなく、かなり重要な対策が抜け落ちていたりします。攻撃がある程度進んだ段階での検知も多層防御としては重要ですが、もっと初期段階、出来れば感染前に阻止したほうが、被害も対応コストも少なくて済みます。

『有事』以前に、そもそもインシデントを発生させない『平時』、つまり『事前対策』について思考停止してはいけないということを伝えるべく努力しています。 (荒木氏) 」

●基本が近道

荒木氏は、断片的な情報からあわてて対策を進めずに、自社にとってのサイバーリスクは何なのかを見極め、それをどのように低減していくのかといった基本から取り組むのが近道であると呼びかける。

例えば、企業ネットワークの入口・出口はゲートウェイ対策で固めてあるものの、MACアドレスベースでしか行っていなかった企業内ネットワーク認証を、デジタル証明書ベースにして不正接続を防止したり(MACアドレスでのフィルタリングでは簡単に突破できてしまう)、拠点に分散設置されたファイルサーバを中央に集約することで、情報漏洩リスクを低減することができる。

荒木氏によれば、こうした基本的な対策を、保護するべき資産とリスクを踏まえて整理してはじめて、高度な標的型攻撃からの防御や、内部不正対策、CSIRT整備といった取り組みも効果を発揮するという。

「今回のガイドラインも、決して『有事』だけを対象にしたものではなく、全般的なサイバーセキュリティリスク管理を解説しているものなので、落ち着いて対策を進めれば、ちぐはぐな状況になるはずはないのですが、なかなか難しいお客様も多くいらっしゃいます。(荒木氏)」

●コアテクノロジーにこだわり続けた国産セキュリティベンダー

流行りの先端製品の推奨だけではなく、こうした実効性のある基本的なアドバイスができるのは、ソリトンシステムズが国産のセキュリティベンダーとして、約20年に渡って日本のセキュリティ市場に取り組んできた経験と蓄積があるからだ。

同社は、多くのソフトウエアやアプライアンスなどの自社セキュリティ製品開発実績を持ちながら、海外ベンダのセキュリティ製品の販売、フォレンジックサービスやインシデント対応関連の専門トレーニングの提供まで行う、独自の立ち位置を持つ企業である。

現在と比べると牧歌的なワームやマクロウイルスが主流だった1990年代からソリトンシステムズは、認証やアクセス制御、二要素認証を実現するセキュリティ製品を開発してきた。

その後もIT環境の変化やユーザーのニーズに合わせて、モバイルやクラウド、サイバー攻撃に備えた製品を開発、リリースしてきた。これを可能にしているのが、東京の他、大阪や長野、山形にも拠点を持つ同社の約100名体制の開発検証チームだ。また、プレセールスとポストセールスにそれぞれ数十名体制の技術部隊を持ち、「海外製品だけでは満たせない日本のお客様のニーズを埋めていくことができるのがソリトンシステムズの強味(荒木氏)」だという。

●『理想論』に惑わされないリスクコントロールを支援

 荒木氏がエバンジェリストとして最も危惧するのは、セキュリティ業界では昔から良くみられる、現実感の無い理想論だという。

 「たとえば『有事』の対策として、身の丈に合わない立派なCSIRTを構築しなくてはならないと勘違いし、一歩も進めなくなるケースがあります。『理想論』を目指しつつも、これに踊らされることなく、落ち着いて自社に合ったリスクコントロールに取り組めるよう手助けしていきたい」と荒木氏は語った。

防御中心から事故前提へ、技術課題から経営課題へ、セキュリティ対策は現在過渡期を迎えている。豊富な経験と実績で独自の存在感を持つソリトンシステムズの視点を通じて、企業におけるセキュリティの現状を、連載形式で探っていきたい。

《ScanNetSecurity》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  3. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  4. 「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

    「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

  5. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  6. 護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

    護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

  7. 日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

    日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

  8. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  9. 「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢

    「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢

  10. メディキットホームページに不正アクセス、閲覧障害に

    メディキットホームページに不正アクセス、閲覧障害に

ランキングをもっと見る
ホーム 特集 特集 記事
TOP