ソリトンシステムズのサイバーセキュリティ第1回「日本企業は、なぜ現実感の無い『有事』のセキュリティ理想論を追うのか？」

「『有事』の経験をあまり持たない企業の場合、『有事』『インシデント』という言葉に惑わされ、混乱に陥るケースも見受けられます。」

特集特集

2016年4月4日（月） 09時15分 PR

「海外製品だけでは満たせないニーズを埋めていくことができるのが強味」株式会社ソリトンシステムズエバンジェリスト荒木粧子氏（仕事場である同社ラボ検証ルームで撮影）

“この製品があれば攻撃を100% 防御できます。”

昔はよく聞かれたセキュリティ製品のセールストークだが、いまこんな言葉がささやかれたら、それこそ100％ウソだろう。APTやゼロデイ脆弱性など、完璧な対策ができないことはすでに共通認識になっているからだ。

サイバー攻撃対策の舵取りがますます困難になる今日、技術力に裏打ちされた堅実なセキュリティ対策の提供に徹しようとしているのが、セキュリティベンダーソリトンシステムズだ。

同社エバンジェリストとして、セキュリティ対策の普及啓発に取り組む荒木粧子氏に、過渡期にあるというサイバーセキュリティの現状について話を聞いた。

●経営課題と定義

経済産業省が「サイバーセキュリティ経営ガイドライン」を公表し、サイバーセキュリティリスクを経営層がリーダーシップをとって取り組むべき経営問題であると定義したのは、年金機構をはじめとするサイバー攻撃が吹き荒れた2015年の12月である。

ガイドラインは、系列企業やサプライチェーンも含めたサイバーセキュリティ対策の実施や、それに必要な予算・人材の確保、また事前対策だけでなくサイバー攻撃を受けた場合に備えた準備などに取り組むよう示しており、これまでと異なる、実践的で踏み込んだ内容となっている。

●『有事』の対策に気を取られ、事前対策の思考停止に陥る危険性

「経産省のガイドラインは、経営者の責任に言及したうえで、『有事』も想定した体制を作り、リスクコントロールを行うよう求めている点で画期的です。しかし、『有事』の経験をあまり持たない企業の場合、『有事』『インシデント』という言葉に惑わされ、混乱に陥るケースも見受けられます。

『有事』について積極的な情報収集をなさっているお客様から、『マルウェア感染後に、○○という動きをした場合に検知ができる製品は？』といった非常に具体的なご質問を受けることも増えてきました。よくよくお話をお伺いすると、まだ感染予防策も十分ではなく、かなり重要な対策が抜け落ちていたりします。攻撃がある程度進んだ段階での検知も多層防御としては重要ですが、もっと初期段階、出来れば感染前に阻止したほうが、被害も対応コストも少なくて済みます。

『有事』以前に、そもそもインシデントを発生させない『平時』、つまり『事前対策』について思考停止してはいけないということを伝えるべく努力しています。（荒木氏）」

●基本が近道

荒木氏は、断片的な情報からあわてて対策を進めずに、自社にとってのサイバーリスクは何なのかを見極め、それをどのように低減していくのかといった基本から取り組むのが近道であると呼びかける。

例えば、企業ネットワークの入口・出口はゲートウェイ対策で固めてあるものの、MACアドレスベースでしか行っていなかった企業内ネットワーク認証を、デジタル証明書ベースにして不正接続を防止したり（MACアドレスでのフィルタリングでは簡単に突破できてしまう）、拠点に分散設置されたファイルサーバを中央に集約することで、情報漏洩リスクを低減することができる。

荒木氏によれば、こうした基本的な対策を、保護するべき資産とリスクを踏まえて整理してはじめて、高度な標的型攻撃からの防御や、内部不正対策、CSIRT整備といった取り組みも効果を発揮するという。

「今回のガイドラインも、決して『有事』だけを対象にしたものではなく、全般的なサイバーセキュリティリスク管理を解説しているものなので、落ち着いて対策を進めれば、ちぐはぐな状況になるはずはないのですが、なかなか難しいお客様も多くいらっしゃいます。（荒木氏）」

●コアテクノロジーにこだわり続けた国産セキュリティベンダー

流行りの先端製品の推奨だけではなく、こうした実効性のある基本的なアドバイスができるのは、ソリトンシステムズが国産のセキュリティベンダーとして、約20年に渡って日本のセキュリティ市場に取り組んできた経験と蓄積があるからだ。

同社は、多くのソフトウエアやアプライアンスなどの自社セキュリティ製品開発実績を持ちながら、海外ベンダのセキュリティ製品の販売、フォレンジックサービスやインシデント対応関連の専門トレーニングの提供まで行う、独自の立ち位置を持つ企業である。

現在と比べると牧歌的なワームやマクロウイルスが主流だった1990年代からソリトンシステムズは、認証やアクセス制御、二要素認証を実現するセキュリティ製品を開発してきた。

その後もIT環境の変化やユーザーのニーズに合わせて、モバイルやクラウド、サイバー攻撃に備えた製品を開発、リリースしてきた。これを可能にしているのが、東京の他、大阪や長野、山形にも拠点を持つ同社の約100名体制の開発検証チームだ。また、プレセールスとポストセールスにそれぞれ数十名体制の技術部隊を持ち、「海外製品だけでは満たせない日本のお客様のニーズを埋めていくことができるのがソリトンシステムズの強味（荒木氏）」だという。

●『理想論』に惑わされないリスクコントロールを支援

　荒木氏がエバンジェリストとして最も危惧するのは、セキュリティ業界では昔から良くみられる、現実感の無い理想論だという。

　「たとえば『有事』の対策として、身の丈に合わない立派なCSIRTを構築しなくてはならないと勘違いし、一歩も進めなくなるケースがあります。『理想論』を目指しつつも、これに踊らされることなく、落ち着いて自社に合ったリスクコントロールに取り組めるよう手助けしていきたい」と荒木氏は語った。

防御中心から事故前提へ、技術課題から経営課題へ、セキュリティ対策は現在過渡期を迎えている。豊富な経験と実績で独自の存在感を持つソリトンシステムズの視点を通じて、企業におけるセキュリティの現状を、連載形式で探っていきたい。