【特別企画】

企業に「セキュリティ文化」を根付かせるために必要なものとは?

 

現代社会を構成するのに欠かせないデジタルデータには、企業にとって重要な情報を含むものも多く、それだけにハッカーに狙われるリスクも大きい。これまでネットワークへの不正アクセス防御や、アンチウィルス・脆弱性診断を実施することでリスクを防げていたとしても、クラウドやIoTが本格化し始めたこの時代にビジネスを展開していくには、改めてセキュリティについて考え直しておく必要がある。

昨今では、昨年収集したマイナンバーを実務で利用する機会も増え、何かしら具体的なセキュリティ対策を取らなければならない―― と感じているご担当者もいることだろう。こういった状況に対し、ペンタセキュリティシステムズ 日本法人の代表取締役社長 陳貞喜(ジン・ジョンヒ)氏は、ソリューションを導入して場当たり的な対策を連ねるのではなく、セキュリティ問題について根源から考える企業文化を育てていかなければならないと説く。

アクセス制御で築いた壁には、いずれ「穴」が開く

ペンタセキュリティシステムズ株式会社 日本法人 代表取締役社長 陳 貞喜氏

現在、日本企業で実行しているセキュリティ対策と言えば、社内システムやネットワーク内部への侵入に対する予防が中心だろう。ペンタセキュリティではこれを「第1次攻撃対策」と位置づけている。例えばネットワークを保護するファイヤウォールやIDS/IPS(不正検知・防御)、システムの安全性を維持するための定期更新やアンチウィルス、アプリケーションではセキュアコーディングの徹底や脆弱性診断、さらにWAF(Web Application Firewall)などがこれにあたるが、陳氏は「第1次攻撃対策」だけに頼ったセキュリティには問題があると言う。「外部からの攻撃を防御する手法(アクセス制御)は、完璧と思われても、どこかに『穴』が生じてしまうため、絶対安全とは言えません」と陳氏は説明する。

アクセス制御の壁を高くしても、ハッカーはそれを乗り越える手法を編み出してくる。いたちごっこに陥りかねないということだ。その結果、ネットワーク、システム、アプリケーションのどこかひとつでもレイヤーが破られれば、システム内部が本格的にハッキングされ(第2次攻撃)、肝心のデータを抜き出されてしまう。

今、必要なセキュリティのあり方とは

クラウドやIoTが本格化し始めた昨今、必要となるセキュリティのあり方について陳氏は次のように語る。

「当社が本社を置く韓国でも2008年頃まで、セキュリティはアクセス制御が中心でした。"周りを固める"というコンセプトがシンプルで、設定も簡単だったからです。しかし2008~2010年にかけて、企業の機密や個人情報の漏洩事件が相次いで起こり、結果的に個人情報の暗号化を定めた法律が生まれるに至っています。またアメリカでも医療分野ではデータの暗号化が進められています。データを盗まれないような完璧な防御を目指すのではなく、盗まれてしまうことを前提に、データ内の情報をどう保護するのかを考えるのが、今、求められているセキュリティのあり方です」

情報を守るためには暗号化が有効だと、陳氏は言う。仮にデータを盗み出されたとしても、それが暗号化(無害化)されて無意味な文字列になっていれば、情報自体が漏れることはない。もしハッカーがその文字列を復号・解読しようとすれば、再度システムをハッキングし、復号キーやデータへのアクセス権限などを探し出さねばならない。よって、ハッカーに取ってみれば手間もコストもかかる上、リスクも大きくなるというわけだ。「まず重要データを暗号化した上で、アクセス制御、ログ管理、ファイヤウォールなどを徹底するというのが、本来のセキュリティの順序です」と陳氏は説明する。

国内における暗号化推進の動きと、企業メリット

我が国でも、個人情報の暗号化を促進する動きは出てきている。内閣府の外局である個人情報保護委員会は2017年2月16日、「個人データ漏えい事案が発生した場合等の対応について」を公表した。同資料は、「個人情報の保護に関する法律についてのガイドライン(通則編)」(同年11月30日公表)において「漏えい等の事案が発生した場合等の対応としては、別に定める」留保されていた、漏洩時の対応策を提案する文書だ。この中で、漏洩が発生した場合には、事実関係や再発防止策を委員会に報告することを求めているが、もし漏れたデータが「高度な暗号化等の秘匿化がされている場合」は、実質的な情報漏洩はなかったものとして「報告を要しない」としている。

同ガイドラインの「8-6技術的安全管理措置」の「情報システムの使用に伴う漏えい等の防止」の項目の講じなければならない措置の例示として「個人データを含む通信の経路又は内容を暗号化する」と記載されており、暗号化の重要性と効力を日本政府もしっかり認識し、かつ情報の保有者に暗号化を促そうとしていることは明らかだ。漏洩発生時、報告書づくりの負担を避けられるのであれば、企業にとっても暗号化の導入はひとつのメリットになるだろう。

暗号化導入の過程が、セキュリティ文化のスタート地点

実際に暗号化を行うにあたって、まず必要となるのが「データの棚卸し」、つまり自社内にある様々なデータの中から、暗号化で守るべき情報を特定する作業だ。これを面倒と考えるのではなく、自社にどれだけ価値のある情報が存在し、漏洩すれば大きな損害になることを認識するきっかけと捉えることが重要で、この認識こそが企業のセキュリティ文化を育てる土壌になる。

「導入の過程で重要な情報の存在を把握できるという意味でも、暗号化は他のセキュリティソリューションとは違った重みを持つものだと思っています。そして漏洩を前提に、重要データを無害化しておくことが現代企業の社会的責任、義務だとすれば、暗号化はITセキュリティの根源をなすものだと言えるでしょう」(陳氏)

守るべき資産を把握することから「セキュリティ文化」は始まる

暗号化するとシステムのパフォーマンスが落ちるという従来の懸念については、「最近市場に出ている暗号化ソリューションなら、そうした課題もクリアしているものが多い」と陳氏は言う。同社が開発・提供しているDB暗号化ソリューション「D'Amo(ディアモ)」や「MyDiamo(マイディアモ)」も、"軽さ"が特長のひとつだ。

「日本のセキュリティ文化を育てるために『導入が簡単だからアクセス制御だけ』という考え方を変えて、積極的に暗号化導入に取り組んでいただきたい…… 韓国での経験に基づいた当社からのアドバイスです」(陳氏)

(マイナビニュース広告企画:提供 ペンタセキュリティシステムズ)

人気記事

一覧

イチオシ記事

新着記事