大きな組織のセキュリティ対策

セキュリティ対策は、大きく分けて「大きなシステムのセキュリティ対策」と「大きな組織のセキュリティ対策」に分けられます。

大きなシステムのセキュリティ対策

多数のサーバで構成され、大量のデータを管理し、ネットワーク構成も複雑で、信頼性や可用性の要件も非常に厳しいシステムを「大きなシステム」と呼ぶことにします。例としては、クレジットカードの管理システム、ユーザ数が数百万人を超えるECサイト、銀行のインターネットバンキング等です。

攻撃者から見れば、大量の顧客情報の取得や、不正ログインによる送金等、お金の匂いがするシステムということになります。このため、日常的に巧妙かつ執拗な攻撃を受けます。また一旦対策をしても、次々に手口も変化します。

かなりのリターンが見込めるため、攻撃者は組織的になり、また攻撃のためのコストをかけることもできます。

システムの構成などはわかっている一方で、非常に高度な攻撃に対抗する必要があります。このため、高度な専門知識も必要で、主に専門人材が対応します。セキュリティ人材と言えば、こういった人を連想するのではないでしょか？

セキュリティベンダも様々なメディアでサイバー攻撃の激化・リスクの拡大を発信しています。高度な攻撃には、最新のセキュリティ対策が必要だ！という宣伝ももちろん入っています。

大きな組織のセキュリティ対策

もう１つのセキュリティ対策が、大きな組織のセキュリティ対策です。極めて大きなシステムはないものの、保有するシステムは100以上、社員やパートナーを含めるとユーザ数は数千人以上(場合によっては数万人のケースも)。本社でもシステムを保有する組織が多数あります。

またサプライチェーン攻撃を受ける可能性もあるため、グループ会社・代理店等の関連会社さらには委託先も含めて、対策状況を管理する必要があります。また日本だけでなく、海外拠点や海外のグループ会社を保有している組織もあります。

こういった大きな組織のセキュリティ対策は、極めて高度の攻撃はないものの、いつどこから攻めてくるかわからない神出鬼没な攻撃者に対して、対策を検討する必要があるとともに、セキュリティ対策のためのコストを必要最低限に抑える必要があります。

また、最近ではランサムウェアの攻撃によって、自社のサービスが停止するような被害もあり、ビジネスリスクを分析した上で、対策計画を立案する必要があります。

これらの対策の最終的かつ実質的な意思決定を行うのがCISO（Chief Information Security Officer 最高情報セキュリティ責任者）になり、組織が大きくなればなるほど、悩みが膨らむことになります。

まとめ

大きなシステムのセキュリティ対策は、高度な専門的なスキルが必要。システムの全体像はわかっているが、巧妙かつ執拗な攻撃の見極めが難しい。技術的なレベルで高度な判断が必要。

大きな組織のセキュリティ対策は、極めて高度な専門的スキルまでは必要ない。一方で大きな組織のため、組織の管理体制や役割分担に曖昧性が残り、保有するシステムやデータの全容に不明な点があり、サプライチェーンも含めた対策状況の把握も十分とはいえない。こういった不確定要素を含んだ上で、ビジネスリスクを分析し対策コストも含めた総合的な判断が必要。

私は、セキュリティの仕事に20年近く関わってきましたが、メディアで取り上げることが少ない大きな組織のセキュリティ対策に焦点を当てて、事例や例え話もまじえて解説していきたと思います。