セキュリティ脅威を招く落とし穴（第3回） セキュリティ対策の3大潮流

　ビジネス活動を阻害する情報セキュリティの脅威が増している。企業の重要データを人質にして金銭を要求する身代金要求型ウイルスであるランサムウエアなど、次々に企業を悩ます手口が登場している。経営者はサイバー攻撃のリスクからビジネスをいかに守るか。企業が講ずるべきセキュリティ対策として注目されている潮流が3つある。

いくつもの防御を重ねる多層的な対策を

　潮流の１つが「多層防御」だ。字のごとく何段階もの複数のセキュリティ対策を組み合わせて防御する。マンションで例えてみよう。まず、エントランスに認証キー、各住戸の玄関ドアに鍵をかける。1つの鍵では不安な場合、複数の鍵を取り付ける。企業のセキュリティ対策も同じように何段階も対策を施すのだ。

　具体的な対策を見ていこう。インターネットと社内ネットワークの出入り口となるゲートウェイで外部からの攻撃を防止する手段として、ファイアウォールを設置するのは当たり前となっている。しかし、これだけではウイルス感染を防ぐのは難しい。

　メール経由のウイルス感染を防ぐには、不審な送信元のメールを検知・隔離する迷惑メール対策が必要だ。また、危険なWebサイトに誘導されてウイルスに感染するケースもある。こうしたWeb経由の感染を防ぐには、アンチウイルスソフトや業務に関係ないサイトへのアクセスを制限するURLフィルタリングの対策も欠かせない。

　さらに、データを保管するサーバーへのアクセス制御や、ランサムウエアの被害に備えてデータをバックアップする。つまり、1つの対策が破られたとしても次がまだあるという想定の多層的な対策により、自社のセキュリティを高める。

バランスの取れたセキュリティ対策を

　2つ目の潮流は「事故前提」の対策を講じることだ。サイバー攻撃の手口は進化し続けている。セキュリティ対策に「これをすれば絶対に破られない」というものはない。セキュリティ事故を前提にして、いかに事故が発生する確率を抑え、ビジネスリスクを最小化できるか。継続的な取り組みが必要になる。そして、万一事故に遭った場合、影響範囲を局所化し、迅速に対応する。こうした対応策をスムーズに行うためには、セキュリティ対策の強化とともに、日ごろから社員の教育や訓練も欠かせない。

　3つ目の潮流は「桶（おけ）の理論」だ。複数の板で作られた桶を想像してほしい。桶の板が一部でも壊れていれば、いくら水をためてもそこから漏れてしまう。セキュリティ対策も同じ。例えば、不正アクセス防御やウイルス対策、データバックアップなど複数の対策を講じていても、ユーザーのUSBメモリーの利用を制限するデバイス制御が不十分な場合、そこが弱点となる。

　そして、USBメモリー経由で情報漏えいの事故を起こせば、いくら不正アクセス防御やウイルス対策などにコストを費やしても、無駄になりかねない。つまり、壊れた桶の板のように、脆弱（ぜいじゃく）な部分からセキュリティは破られ、情報が漏れる。セキュリティ対策のレベルに高低があれば、一番低いところが全体のセキュリティレベルになる。

　さまざまな対策を漏れなく施し、全体のセキュリティレベルをバランスよく向上させる。それが「桶の理論」のポイントである。

　弱点のない全体的にバランスの取れたセキュリティ対策を講じるには、「多層防御」「事故前提」「桶の理論」の3つのキーワードが参考になる。自社のセキュリティ対策の現状を把握し、弱点を1つひとつ埋めていく適切な対策を考える必要がある。