セキュリティの現場から from バラクーダラボ(71) 人間の脳の限界

この記事は、バラクーダネットワークスのネットワークセキュリティ担当VP兼GMであるクラウス・ゲリ（Klaus Gheri）の投稿です。 Professional Security Magazine Onlineに掲載された記事を引用しています。

ネットワークセキュリティの基盤となるテクノロジは常に進化を続けており、何年にもわたる機能拡張や高度化の成果として、ファイアウォールなどさまざまなセキュリティテクノロジが登場してきました。このようなテクノロジの目的は、プロセスを効率化し、人為的なミスがビジネスに及ぼすリスクを最小限に抑えることにあります。ところが、このようなセキュリティ機能を阻む要素がどの企業にも存在するのです。それは、セキュリティに貢献するはずのITマネージャです。

最近実施されたファイアウォールに関する調査では、「自社のファイアウォールルールの内容を把握していない」という解答が80%もありました。これは、現在のテクノロジは非常に複雑になり、簡単には管理できない状況にITマネージャやセキュリティマネージャが陥っていることを示しています。人間の作業にはミスが発生する可能性が必ず存在します。したがって、これはITマネージャのスキルや経験の問題ではなく、人間の脳のメカニズムに存在する制約が原因なのです。

ファイアウォールが複雑なのは、いくつものルールがあり、ルールセット間にさまざまな相関関係があるからです。人間の脳が一度に処理できる情報量には限界があります。500を超えるルールを設定している会社もありますから、管理コンソールの画面にはルールが何行も表示されますが、ITマネージャが一度に把握できるのは25行程度です。こういった情報オーバーロードは誰もが経験することですが、このような状況がビジネスに影響を与えないような対策を講じる必要があります。

セキュリティルールとプロファイルルールセットは全社レベルで適用されるルールであり、従業員とITシステムのセキュリティを現在から将来にわたって確保することを目的としています。ファイアウォールルールの数が増えるほど、人為的なミスによって設定に誤りが発生する確率も高くなります。なぜかというと、ファイアウォールを管理するITマネージャはセキュリティの全体像を明確に把握できなくなり、矛盾するルールセットを見つけ出せなくなるからです。実際、ファイアウォールルールの設定ミスが原因でセキュリティギャップが発生している企業は55%を超えており、さらにその半分は設定ミスによるシステムダウンを経験しています。

500種類のルールはさらに増加を続ける

現在設定されているルールに問題がなく、高度なセキュリティが確保されているとしても、将来にわたって良好な状態が続く保証はありません。とは言っても、ルールセットの数を減らすことが最善の方法とは言えません。変化を続ける市場やビジネス要件に対応する上で、セキュリティのルールや設定を追加または変更する作業は不可欠だからです。したがって、ITマネージャが管理しなければならないルールの数は、今後も増加し続けると考えられます。

解決策

人間の脳の処理能力とテクノロジの情報量の格差解消に向けて、IT業界は取り組みを始める必要があります。たとえば、試験勉強の準備をするとき、教科書の内容をすべて吸収することは不可能です。したがって、最も重要な内容を抜き出してまとめる方法が一般的です。これにより、教科書の内容を理解しやすくなります。これと同じ機能を、セキュリティテクノロジもユーザに提供する必要があります。

これまでIT業界は、新しいセキュリティテクノロジの開発に最優先で取り組んできましたが、人為的なミスが発生しやすいテクノロジを開発したところで、その効果は半減してしまいます。テクノロジを最大限に活用する上で最も重要な条件は、使いやすさです。そこで重要な役割を果たすのが、管理コンソールです。セキュリティルールをわかりやすく表示し、設定内容の矛盾を通知する機能を備えた管理コンソールがあれば、企業を最大限に保護するセキュアな環境を整備し、維持していくことが可能になります。

※本内容はBarracuda Product Blog 2014年2月26日 Limits of the human brainを翻訳したものです。