セキュリティ担当部署は捜査機関へと変わるべき - ITR 舘野氏

「今後、セキュリティを担う部署は、管理部門から捜査機関へと変わらなければなりません」――こう話すのは、アイ・ティー・アールでセキュリティ分野を担当するシニアアナリスト、舘野真人氏である。

では、昨今のサイバー攻撃がどのような形態で行われ、企業としてはどのような対策が求められるのか。概要を舘野氏に聞いたので、その模様をお伝えしよう。

プロフィール

舘野真人(TATENO Masato) - アイティ・アールシニア・アナリスト

IDGジャパンにおいて「月刊CIO Magazine」の編集に携わり、企業のCIO・情報システム部門長を相手に、経営/IT戦略立案、システム導入プロジェクトにかかわる取材・執筆を精力的に手がけ、2004～2008年には同誌編集長を務めた。

2009年1月より現職。現在は、IT投資戦略、IT組織改革、情報セキュリティ、ソーシャルメディア、スマートデバイスなどの分野を担当し、ユーザー企業のIT戦略策定や製品選定、セキュリティ・ポリシー策定などの支援に取り組んでいる。また、ユーザー企業を対象とした各種調査も手がけている。

専門分野は「IT投資戦略、IT組織改革<」、「コミュニケーション/コラボレーション」、「ソーシャルメディア、モバイルデバイス」、「情報セキュリティ」、「各種ユーザー企業調査」など。

3月12日に開催される『マイナビニュースITサミット2013 従来型では通用しない新たな脅威にどう対処すべきか? ～急増する未知なる脅威への対策と処方箋～』に登壇予定。

深刻さ増す外部からの脅威

「これまで、国内企業のセキュリティ投資は、大局的に見ると、個人情報保護法やJ-SOX法への対応など、内部向けの防御に対して行われる傾向が強かったと言えます。そうした取り組みは一定の成果を上げましたが、一方で企業は今、外部からの脅威に晒されており、こちらの対策が急務と言えるでしょう」と舘野氏は指摘する。

外部からの脅威、その最たる例が昨今話題の標的型攻撃だ。一昔前のような無差別型の攻撃は減少しつつあり、特定の企業を狙って執拗に行われる攻撃が増えている。関係者を装ったメールへの添付や、業界関係者が頻繁に閲覧するポータルサイトの改ざんなど、マルウェアを配布する手口も巧妙化している。

「当社も関わった実態調査では、昨年1年間で標的型攻撃を受けたと回答した企業は8.3%でした。これ自体も決して少なくない数字ですが、標的型攻撃は巧妙なため、攻撃が行われたことに気付いていないケースもあると思います。自社には関係ないと油断しているわけにはいかない状況になっています」(舘野氏)

しかし、一口にセキュリティ製品と言ってもさまざまな種類があり、すべてを導入するとなると莫大な費用が必要となる。予算の限られる企業には、何から手を付けてよいのかと戸惑う担当者も多いだろう。

そこで必要なのが発想の転換だ。すべての攻撃を防ぐのではなく、攻撃されたことを早期に察知して対策を施すという考えである。当然、ゲートウェイを守るための最低限の製品や技術は必要だが、それ以上の対策に関しては、侵入されることを想定したうえで設計するべきというのが舘野氏の主張だ。

「もちろん、業種によっては侵入自体を許容できないケースもあると思います。しかし、単純に侵入を防ぐことだけに心血を注いでしまうと、攻撃者とのいたちごっこに疲弊してしまうだけですから、システムの性質上、許されるのであれば、侵入させないことよりも、侵入された際の被害を最小限に防ぐ、つまりダメージコントロールをセキュリティのゴールにするべきでしょう」と舘野氏は語る。