完璧なセキュリティ対策など存在しないから『向き合い方』こそが大事
スリーシェイクの手塚です。
Incubation事業部にてSecurify(セキュリファイ)とReckoner(レコナー)の事業統括を務めています。
詳しい事業紹介は以下をご覧いただけますと幸いです。
私はセキュリティの専門家ではありませんが、SREとして様々なレイヤーでセキュリティ対策に取り組んできました。セキュリティツールを提供する事業者の立場からも、セキュリティへの向き合い方についての思いをまとめてみたいと思います。
セキュリティ対策を行う我々は常に敗者である
一般的に言われていることですが、基本的に、攻撃者は防御側に比べて圧倒的に有利な立場にあります。
攻撃者は一つの弱点を見つければ良いのに対し、防御側は様々なレイヤーのあらゆる脆弱性を考慮しなければなりません。
AWS や Google Cloud などのパブリッククラウドを使われている方も多いかと思いますが、そういったパブリッククラウドのIPアドレスは世に出回っています。
実際のところ、私が今まで運用した中でも定期的に異常なアクセスが来ていましたし、実際に様々なツールを駆使すれば攻撃者が攻撃対象を見つけ出すことは容易です。
攻撃を行う際、攻撃者は時間をかけて入念に準備ができますが、防御側は常に攻撃に備えておく必要があります。
そのため、防御側は常に不利な状況にあると感じています。
完璧なセキュリティ対策など存在しない
セキュリティ対策においてはこの前提への理解が何よりも重要だと考えています。
この前提はエンジニアだけではなく、経営者も、そして我々のようなセキュリティベンダーや事業者も含めて真摯に向き合わなければならない考えであると思っています。
※ 完璧と謳いたいセキュリティツールを提供する立場としてあまり言うべきことではない気がしますが…
これを言ってしまっては元も子もないですが、システムを100%安全にすることは不可能だと思っています。
どんなに入念にセキュリティ対策を行っても、ゼロデイ脆弱性が出てくれば、その瞬間に新たな脅威が生じ、攻撃者が付け入る隙は常に残ってしまいます。
そんなレベルではなくとも、単に設定を誤ったり、ちょっとの期間パッチを当てていなかっただけでも十分に情報漏洩発生のリスクになります。
そのため我々のような防御側は、完璧なセキュリティを追求するのではなく、リスクを許容範囲内に収めることを目標にせざるを得ません。
イタチごっこをし続けないといけない
新たな脅威が登場するたびに、自社にその影響度がどの程度あるのかを判断し、適切に対応し続けなければなりません。
まさにイタチごっこ状態が延々と続くのがセキュリティ対策の現状ですし、これは今後も変わることはないのかなと思います。
もちろん、完璧がないから諦めろという話ではありません。
一度やったら終わりではなく、そこに対してどういうプロセスを作れるのか、攻撃者の目線に立ってどうやったら守れるのかを常に考え取り組み続ける必要があると思っています。
組織としてそのプロセスの精度がどの程度高いのか、できるところまでやり切れているのか、そこを求めていく必要があるのではないでしょうか。
セキュリティ対策に向き合い続けられるプロダクトを作りたい
全体的にすごくネガティブな記事になってしまいましたが、そんなセキュリティ対策を楽に、そして継続的に向き合い続けられるサービスが必要だと思いSecurify(セキュリファイ)を提供しています。
完璧なセキュリティ対策など存在しないからこそ、継続的にセキュリティ対策を行うことが重要ですし、その中でもできる限り負担を最小化していくことが大事だと考えています。
要は、できるだけ楽にイタチごっこをし続けようということです。
まだまだ産声を上げたばかりで完璧ではない製品ですが、Securifyを通じて様々な人が、より少ない労力でセキュリティ対策にずっと向き合い続けられる、そんな世界を作りたいと思っています。
今後も攻撃者目線を忘れずに、攻撃者側にとって不都合な対策を常に考え、プロダクト開発をしていこうと思います。
スリーシェイクでは一緒に働く仲間も募集しておりますので、ご興味があればぜひご応募ください。