最近のサイバー攻撃の増加、特にオリパラを直前に控え、日本国内でもセキュリティ対策の強化が意識されてきています。
それ自体は、大変の望ましいことですが、一方でセキュリティ対策の実施方法については、モグラ叩き的な対策に終始している感が否めません。
F/Wの設定、パソコンのウィルス対策、ペネトレーションテストそれに最新のEDRの導入が必要等、セキュリティベンダーも自社製品を導入してもらうために色々な角度から、それぞれの製品の重要性を提案してきます。
情シスのメンバとしては、その整理が大変!といったところではないでしょうか?
なぜ、セキュリティ対策はモグラ叩きになってしまうのか
では、いったい何故、モグラ叩き的な場当たり的な対策をせざるを得ないのかを考えてみたいと思います。
最初に結論からですが、原因は「守るべきものが明確でない」からです。
一見、「守るべきものを明確にする」ことは簡単な問題であるように思えるのですが、実際に「守るべき情報資産の定義」に着手すると多くの難題が待ち構えています。
具体的に何が「守るべき情報資産の定義」を難しくしているのかを見ていきましょう。
1.守るべきものは、時間の経過とともに変わる。
情報の価値は、時間の経過とともに変わっていきます。例えば決算発表前の決算情報は会社にとって極秘情報ですが、一旦、決算発表を行ってしまえば、逆に誰にでも見れる状況にしないといけない公知の情報となります。
つまり、「守るべき情報資産の定義」には、時間が概念を取り込んで定義する必要があるのです。
具体的には、定期的に情報資産の重要度を再確認する手間をかける必要があるのです。
2.クラウド導入によりITの資産管理がどんどん難しくなっている。
これまでは、会社のシステムは、各部から情シス部に依頼して構築する形であったが、最近では多くの会社で各部が直接クラウドサービスを契約して、情シス部が知らない状態でクラウドサービスの利用が始まっているケースが増えています。
そのため、従来は会社全体でIT資産を情シス部で一元的に管理・把握できていたものが、特にクラウドサービスについては、どの部がどのクラウドサービスを利用しているのか分からなくなってきているのです。
所謂、シャドウITが急速に増加しており、守るべき情報を保存しているIT資産の把握が困難になってきているのです。
勿論、「クラウドサービスを利用する際には申請を出す」といったルールを整備したり、システム的にCASBを導入して、それを把握しようとしている企業も多いと思いますが、全貌を見える化できている企業はごくわずかにとどまっているのが現状です。
これを解決するための方法は、以下の2つの何れかです。
・各部に対して定期的にクラウドサービス利用状況を確認する。
・CASB等、システム的に各部のクラウドサービス利用状況を把握する仕組みを導入して運用を確立する。
勿論、後者の方が網羅性を担保でき確実なわけですが、導入・運用コストを捻出できるかがポイントとなります。
3.会社をまたいだ情報共有が進んでいる。
最近では、GoogleDocs、MSのSharePoint、BOX等により会社をまたいだ情報共有が用意に実現可能となっています。
これは、業務効率上、望ましいことではありますが、一方で、情報管理の観点からは中々の難題となります。
どの部も情報共有を開始する際には、必要な申請をしっかりと行うのですが、プロジェクトが完了し、情報共有の必要性がなくなった状態になっても、情報共有をやめるための申請を行う部署は皆無です。
そのため、定期的に情報共有の必要性、必要なアクセス権設定については棚卸を実施して確認するしかないのです。
まとめ
改め、「守るべき情報資産の定義」に戻ってみましょう。
1.2.3.ともに、なかなか「めんどう」な業務を地道に行わないと「セキュリティのための資産管理」ができないことが分かったかと思います。
これらの作業は、地道で工数がかかる上に、利用部門に確認作業等を実施させる必要があることから、多くの企業で定着するのが難しい業務となります。
そのため、「守るべきものが明確でない」状態のままセキュリティ対策を始めるので、結果、気づいた課題に場当たり的に対応していくモグラ叩き的な対応をせざるを得なくなっているのではないでしょうか?
一度しっかりと立ち戻り、地道ではありますが、「守るべき情報資産の定義」を行った上で、セキュリティ対策を計画的に実施していきたいものです。
コメント