自社のセキュリティ対策は他社と比べて上か下か | RBB TODAY

自社のセキュリティ対策は他社と比べて上か下か

 本稿では、これまで蓄積したSAツールの回答データの統計を提示、分析し、今後のセキュリティ計画や投資方針を策定する際の判断の一助となるような、概略的な提言を行う。

ブロードバンド セキュリティ
経営者や管理職のみなさんは、自社や競合他社の情報セキュリティ対策が今どうなっているか、把握しているだろうか。IT部門任せになってはいないだろうか。

収益性の向上や競合他社との差別化など、経営上の理由からITの活用が進む一方では、セキュリティ上のリスクも高まることになる。企業秘密や顧客情報の漏洩、情報の改ざんなど、さまざまなパターンで被害をこうむることが考えられる。自社が侵害されたときの損害額の大きさや企業ブランドへの影響を考えれば、経営陣といえどもセキュリティに無関心ではいられない。

トレンドマイクロ社では2012年から無料で、セキュリティ診断を行うWebサービス「セキュリティアセスメントツール」(以下、SAツール)を提供している。サイバー攻撃対策、クラウドセキュリティ、モバイルセキュリティ、データセキュリティの4つの分野ごとに25問ずつ「はい/いいえ」で回答する設問が用意されている。回答終了後に自社の対応状況が数値化され、全診断者平均・業界平均の点数と共にグラフ表示される。

本稿では、これまで蓄積したSAツールの回答データの統計を分析し、今後のセキュリティ計画や投資方針を策定する際の判断の一助となるような、概略的な提言を行う。


● スマートデバイス

スマートフォンやタブレットといったスマートデバイスは、PCと比較すると操作が直観的で使いやすい。「複雑な部分」は隠ぺいされているからだが、その反面、企業のユーザ側・管理者側からPCほど詳細な制御は行えないようになっている。また、こうした制限によってセキュリティ対策ツールもPC版ほど機能が充実していない。他にも、社員が業務の効率化を図る目的などで、私物のスマートデバイスにデータを保存して持ち歩くなど、ユーザが認識しているかどうかに関わらず、セキュリティを低減させる要因がある。

SAツールの統計データによれば、PCやサーバよりもスマートデバイスの対策が遅れていることが示されている。さらに、各企業ではスマートデバイスに関して、具体的にどのようなセキュリティ対策を施しているのか、実施率の上位・下位の回答を見ていくと、管理者側で取れる方針策定や認証といった対策が先行しており、スマートデバイス1台1台に導入が必要なURLフィルタリングやデータ暗号化などの対策は遅れていることが分かる。

では、このように対策を取りづらいスマートデバイスを利用するにあたって、セキュリティ対策はどのようにしたらよいのだろうか?何はともあれ、使用のメリット・デメリットを明確にする必要がある。SAツールの「スマートフォンやタブレットを利用するにあたってのメリット・デメリットが明確になっている」という設問に対し「はい」と回答したのは全体平均では49.7%だが、役職別では「役員クラス」70.4%、「本部長・部長クラス」34.6%と大きく乖離している。ここから、費用対効果といったビジネス面での評価はなされていても、実運用上・セキュリティ上の視点が疎かになっている様子が透けて見える。さらに、使用範囲(場所や部門)を規定するなどして、きめ細かく導入する場面を決めるとよいだろう。

● ユーザ教育

特定の組織を標的としたAPT攻撃(Advanced Persistent Threat attack、持続的標的型攻撃)は、所属スタッフの誤った操作を誘うようなメールを送り付けるなどして始まる。このような、ユーザの隙を突くソーシャル・ハッキングという攻撃形態には、高度な技術を必要とせず、効果も高いことから多用されている。最大のセキュリティ・ホールは人間であり、また対抗手段としてはユーザ教育ということが言われて久しい。

一方SAツールの回答結果からは、効果が高いとされる教育やポリシーの周知といった対策に力が入れられていないことがうかがえる。中でもSNS(Social Networking Service)、スマートフォンやタブレット、クラウドサービス、APT攻撃といった比較的新しいキーワードが絡むものについて、遅れが目立つ。

対応策としてはユーザ教育しかない。ユーザの誤った対応によりセキュリティが侵害される機会の多さや、ユーザ教育の効果の高さについて正しく認識し、ユーザ教育を実施することをお勧めする。

● セキュリティ対策全般

ITは常に進化している。手元の端末としてスマートフォンが登場し、SNSという新しいサービスが活況を呈している。インフラとしてはクラウドサービスの利用が進んでいる。その一方で、APT攻撃など攻撃者が用いる手法も発展している。

対して、企業などの組織が取っているセキュリティ対策はどうなっているだろうか。SAツールの回答で対策が進んでいるものの上位には、従来から言われており、対応するツール・製品・サービスが充実しているものが並んだ。翻って下位には、新しい概念のものが挙がっている。

セキュリティ対策が進めば攻撃者は新たな手法を考え出し、対抗して企業側ではさらに対策の高度化を進める、といういたちごっこは続く。新しい攻撃には新しい対策が必要だ。また、新しい通信環境が登場した場合には、同時に新たなセキュリティ対策を施す必要がある。
《編集部@ScanNetSecurity》

関連ニュース

特集

page top