事業継続で意識すべきは災害だけではない – ITR舘野氏

9月27日(金)、東京都千代田区のマイナビルームにてセキュリティをテーマにしたセミナー『今そこにある危機を具体的に洗い出し、対策をまとめて解説! ネットワーク・セキュリティ・インフラの全貌』が開催される。その特別講演では、株式会社アイ・ティ・アールのシニア・アナリストを務める舘野真人氏が『事業継続のためのセキュリティ対策』と題し、将来に向けたセキュリティ対策のあり方を語る。

各種の実態調査を通じて実際にユーザー企業の声を耳にしている舘野氏は、導入する立場からインフラ構築を指南できるアナリストである。その舘野氏がセキュリティという観点で挙げるキーワードは、意外にも「事業継続」である。

プロフィール

舘野 真人(TATENO Masato) - アイ・ティ・アール シニア・アナリスト

IDGジャパンにおいて「月刊CIO Magazine」の編集に携わり、企業のCIO・情報システム部門長を相手に、経営/IT戦略立案、システム導入プロジェクトにかかわる取材・執筆を精力的に手がけ、2004～2008年には同誌編集長を務めた。

2009年1月より現職。現在は、IT投資戦略、IT組織改革、情報セキュリティ、ソーシャルメディア、スマートデバイスなどの分野を担当し、ユーザー企業のIT戦略策定や製品選定、セキュリティ・ポリシー策定などの支援 に取り組んでいる。また、ユーザー企業を対象とした各種調査も手がけている。

専門分野は「IT投資戦略、IT組織改革<」、「コミュニケーション/コラボレーション」、「ソーシャルメディア、モバイルデバイス」、「情報セキュリティ」、「各種ユーザー企業調査」など。

9月27日(金)に開催される『そこにある危機を具体的に洗い出し、対策をまとめて解説! ネットワーク・セキュリティ・インフラの全貌』に登壇予定。

データを守る、システムを守る、それだけがセキュリティ対策か?

舘野氏によれば、従来のセキュリティ対策が「コンプライアンス」と「内部からの情報漏洩の脅威」に集中していた状況から、「外部からの攻撃」へ重点が置かれるようになってきているという。

ネットワーク越しの攻撃というものは古くから存在し、ファイアウォールやウイルス対策ソフトなどの基本的なセキュリティツールを導入することが一般化している。しかし昨今、ニュースなどでも話題になっている「標的型攻撃」の被害が顕著になってきたために、外部脅威対策を見直す動きが出てきているのだ。

ただし舘野氏は、セキュリティ対策を見直す際には、考え方を改める必要があると主張する。「セキュリティ対策とは、データが漏洩しないこと、システムが破壊されないことを目的とするのではなく、攻撃を受けてもビジネスを滞りなく行えること、あるいは被害を最小限に抑えること、つまり事業継続を目的とすべきです」(舘野氏)

多くの企業ではBCP(事業継続計画)を考慮して、対策を練っていることだろうが、このほとんどは「自然災害」を対象にしたものである。しかし、システムがダメージを受けるという点で、攻撃を受けた場合でも状況は同じことだ。サイバー攻撃を受ける確率は、災害のそれよりもずっと高く、場合によってはより大きなダメージを受けるおそれもある。

「BCPの中には、セキュリティ対策を盛り込む必要がありますが、実際にはバラバラに行っている組織がほとんどです」(舘野氏)

Webサイトへの攻撃に注意、サービスを止めることの損失が大きい

最新のセキュリティ事情で、注意すべきものは何だろうか。舘野氏は、「Webサイト／サービスの対策は軽視できません。特にWeb改ざんは危険です」と述べる。

例えば、ニセのWebサイトに被害者を誘導して情報を窃取したりマルウェアを仕込まれたりする手口が横行しているが、最近のサイバー攻撃では、一般の企業Webサイトが改ざんされて、マルウェアやフィッシングのためのスクリプトを仕込まれたりするケースが増えている。むろん、ECサイトや会員制サイトを運営する企業であれば、不正アクセスによる個人情報漏洩被害も考慮しなければならない。

「最近のセキュリティインシデントでは、長期間にわたってサービスを停止せざるを得ない状況が目立ちます。予防だけでなく、インシデントを早急に発見し、迅速に復旧する施策も用意しておく必要があります」(舘野氏)

舘野氏によれば、これまで国内企業ではあまり重視されてこなかった「DoS(サービス不能)攻撃」にも注意が必要であるという。「昨今の政治的・社会的事情、またソーシャルメディアを用いた攻撃の扇動や不祥事への過剰な反応などを考慮すると、早いうちに手を打っておかなければならない」(舘野氏)。

例えば2012年には、「Anonymous」を名乗るグループが日本の改正著作権法に抗議するという名目でJASRAC(日本音楽著作権協会)のWebサイトにDoS攻撃をしかけ、協会はやむを得ずサーバを停止させるという事件が生じた。また毎年9月18日付近では、満州事変に関連した抗議活動の名目で国内でのサイバー攻撃が活性化するという。

「最近の脅威は以前ほどシンプルではなく、個々の企業で対応できるようなものではなくなっています。事業継続のためにも、初期対応の窓口となるセキュリティ対策チーム(CSIRT：Computer Security Incident Response Team)の設置が重要です。テクノロジーだけでなく、ヒトも重要になるのです。企業が目指すべきセキュリティ戦略について、技術面や環境面、組織・人といった観点からお話しします」