「2025年の崖」の下から見たITセキュリティ対策の盲点とは？

突然ですが、皆さんは魚釣りをされたことはありますか? 同じ仕掛けと同じ場所で釣り続けることは難しいですよね。なぜならば、仕掛けや人間の存在を魚が学習するからです。そのため仕掛けと場所を少しずつ変えていかないと釣り続けることはできません。

マルウェアの世界も同様です。攻撃側は複数の仕掛け(マルウェア)を複数の場所(企業・部署・侵入経路)で試しています。それらがうまく(?)かみ合った時に世界的な大流行が発生するのです。そうした意味では、攻撃側同士(もっと言えばマルウェア同士)は互いに競合関係にあると言えます。

しかし近年、さまざまな業界で事業連携や統合が進んでいるように、マルウェアの世界にも協業時代が訪れています。こうした時代においては、どのようなマルウェア対策を講じるべきでしょうか。そこで今回は、近年のマルウェアの傾向とその対策について説明します。

マルウェア協業時代の象徴「モジュール型マルウェア」

前述の通り、これまで攻撃側は攻撃が成功しないとお金や目的の情報を得ることができないため、攻撃側同士は競合関係にありました。ところが近年、複数のマルウェアを組み合わせて攻撃することが可能になっています。それを実現したのが「モジュール型マルウェア」です。

「モジュール型マルウェア」は異なる特性を持つマルウェアをまるで部品(モジュール)のように複数組み合わせて内包することができるマルウェアです。釣りに例えるならば、複数の仕掛けを同時に試せる魔法の道具のようなものです。攻撃側は組み合わせたマルウェアのうちどれか1つでも攻撃成功すればよいわけですから、あとは場所をひたすら変えるだけで効率よく攻撃を繰り返すことができます。

個別製品でITセキュリティ対策をしてきた企業は大変

「モジュール型マルウェア」の登場により、防御側はこれまでよりも多くの種類のマルウェアが多くの場所に投入される可能性が高まるので、セキュリティリスクが高まります。特に脅威や場所ごとにITセキュリティ対策製品を導入してきた企業にとっては一大事です。

なぜなら、各製品が独自の防御力で稼働しているため、どうしても防御力にムラが生じてしまい、その結果、図らずしも複数の“モジュール型マルウェアの試用環境”を攻撃側に与えてしまっていることになるのです。

• マルウェア協業時代は個別製品でITセキュリティ対策を導入すると攻撃側にとって好都合になる可能性がある(写真は北海道でニジマス釣りに興じる筆者、実際の釣りは仕掛けと場所を何度も変えるので大変)

「2025年の崖」を前に、保守・運用コストや貴重な人員が割かれる

また、個別にITセキュリティ対策製品を導入すると、それぞれで保守・運用コストが、そして何より貴重な人員が割かれてしまい、導入すればするほど負荷がかかってしまう可能性があります。

こうした問題を解決するため、近年では個別にITセキュリティ対策製品を導入するのではなく、企業全体のネットワークセキュリティを統合的に監視する製品を導入する企業が増えています。それは、経済産業省が警告する「2025年の崖」と言われる経済リスク対策として理に適っています。

• 「2025年の崖」がITセキュリティに与えるダメージは大きい

ITセキュリティの観点から、2025年の崖を考えると、以下のようになります。

• 多くの業種・業界で東京オリンピック・パラリンピック終了後の景気後退は避けられない→業績悪化により攻撃側に狙われやすくなる(前回説明済)

• 少子高齢化による労働力人口不足により、今よりもIT技術者の絶対数が不足する→セキュリティ製品ごとの担当者はますます確保できなくなる

• 2025年には基幹系システムのリプレースラッシュが予想されるが、その際、デジタルトランスフォーメーション(DX)に向けた基幹系システムを構築する可能性が高いため、ITセキュリティ人員が割かれる→今よりも少ない人数でITセキュリティ業務を回す必要がある

このような状況で個別に対策製品を導入していては、リスクもコストも増やすことになります。さらには、個別製品が独自の基準でセキュリティアラートを発報することによるアラート過多の状況にも陥りやすくなります。

「シスコ2018年次サイバーセキュリティレポート」および「シスコ2018セキュリティ機能ベンチマーク調査」によると、「個別製品と統合製品のどちらの導入を推奨するか?」という問いに対し、セキュリティ専門家の72%が個別製品の導入を推奨しています。その選択理由は、どちらも「コスト効率の高さ」が同じ割合(57%と56％)で第1位であり、「導入が容易」を挙げた割合は統合製品のほうが多いです。

日本ではまだ敷居が高いと思われがちの統合製品ですが、中長期的な視点で考えれば、自ずと正しい選択ができるはずです。

• 個別製品、統合製品のどちらの導入を推奨するか? 資料：(「シスコ2018年次サイバーセキュリティレポート」「シスコ2018セキュリティ機能ベンチマーク調査」

「2025年の崖」に落ちないために今から改革を

また同調査において「日本企業が高度なセキュリティプロセス(≒統合製品)を採用しない理由」の上位回答は以下のような状況ですが、すべて現状の業務環境を如実に表しています。

• 予算的な制約(31%)
• 熟練スタッフの不足(28%)
• 市場で有効性が実証されていない製品購入への抵抗感(28%)
• 優先事項の競合(27%)
• 新しい責任を引き受けるには現在の作業負荷が重すぎる(27%)

より少ない人員・業務量でより高いセキュリティレベルを実現しなければならないこのご時世に、どの理由も現状維持を続けてきたことが招く当然の結果なのです。新たなセキュリティソリューションを積極的に試し、抜本的な業務改善を進めていかなければ、「2025年の崖」に頭から突っ込んでいってしまうことになります。ひとたび崖に転落すると、そこからはい上がるために貴重な労力・予算をロスしてしまいます。

仮に、労力・予算をつぎ込んで何とか崖から這い上がったとしても、既にその時点で崖に転落しなかった競合他社とのあらゆる事業継続ファクタ(ITセキュリティ・事業戦略性・労働生産性など)の差がかなり開いてしまっているはずなので、「崖の下も上も地獄」という最悪の事態になりかねません。

• 理想的な「統合製品」によるITセキュリティ対策のイメージ、貴重な人員と予算は「2025年の崖」対策へ!

今から「2020年の後」を見据えて改革を進めていけば、「2025年の崖」を乗り越えることは比較的容易なはずです。決して早すぎることはありません。今からITセキュリティ業務を見直し始めてみてはいかがでしょうか?

著者プロフィール

橋川ミチノリ

幼少よりコンピュータ関連の仕事に憧れ、ディーアイエスソリューション株式会社に入社。
営業職として最新のＩＴソリューションの提案・販売活動に10年間従事した後、マーケティング職に転向。高度化・複雑化が進むIT業界のトレンドや最新技術を分かりやすく解説し、啓蒙を図るミッションに取り組んでいる。
生まれ： 広島県、好きな言葉：やっぱりカープがNo.1!、趣味：ホルン 。