データのプロテクトに関する4つの神話
企業へのサイバー攻撃の対策を考えるとき、セキュリティ・ソリューションを提供しているFireMon LLCのティム・ウッズ氏はこれまでの経験から、多くのIT管理部門には、共通してみられる「神話=思い込み」が存在すると指摘しています。それら神話に惑わされていると必要な対策が取れないことがありますので要注意です。
ウッズ氏の挙げる4つの神話にとらわれていないかチェックしてみましょう。
photo credit: Unhindered by Talent via photopin cc
よくある4つの『神話=思い込み』を認識しよう
神話その1「うちのテクノロジーは遅れている」
ウッズ氏がIT業界最大の神話と呼ぶのは、「ハッカーのテクノロジーに追いついていない」という思い込みです。この思い込みは広く見られますが、「そうではない」とウッズ氏は言い切ります。データの漏洩の多くの原因は、テクノロジーが遅れているというよりもミスによるものです。
テクノロジーの複雑さが増すと、セキュリティと管理が複雑になり、人的エラーも出やすくなります。そしてこの人的エラーが情報漏洩の多くの原因になっています。
神話その2「攻撃はすごく複雑なものだから手に負えない」
ハッカーと言えば、アノニマスやゴットフリート・スヴァルトホルムなどの凄腕を思い浮かべる方もいるかもしれません。しかし現実には、ほとんどの攻撃はごく普通のハッカーによるものであり、対応しているIT管理者ほどのスキルも知識もないことがあります。従って実際には、充分なセキュリティ対策の施されていない、侵入の簡単なアクセス・ポイントからの不正侵入が多いとウッズ氏は指摘しています。
セキュリティホール(ソフトウェアの設計ミスなどによって生じたセキュリティ上の弱点)が放置されていることもしばしばあるということなので、脆弱性の検出をもっと徹底して行いましょう。
神話その3「ネットワークのコントロールなんて意味がない。今や全ての攻撃がアプリケーション層の攻撃なのだから」
「80番ポート」を介してくる多くの攻撃に対して、これらの攻撃に対して「防御は可能である」とウッズ氏は断言します。マルウェア等がシステムに入り込むのを防ぐために、ファイアウォールとホワイトリスト式を推奨しています。
IT管理部門は、ハッカーが入り込んだときに重要なアセット(ソフトウェアやライセンスなど)を探しだす際のパスを想定して対策を練っておくと良いでしょう。
神話その4「今のシステムに丹念にパッチを当てていけば、全てのデータの漏洩を防ぐことは可能だ」
残念ながら「パッチを当てる」ことは万能な策でも究極の策でもありません。どこかにパッチを当てている頃には既にまた別のところにパッチが必要となっているものです。しかも、ゼロデイアタック*に対してはなす術がありません。
「パッチを当てる」ことは、データをプロテクトするための方策の全てではなく、一部であると認識しましょう。
*セキュリティ上の脆弱性が発見された時に、それが広く公表される前に、その脆弱性を悪用して攻撃すること
思い込みにとらわれることなく、対策を講じよう
ウェブサーバやDNSサーバ、自社のネットワークのトラフィック傾向等を常に把握し、攻撃を受けた時に検出できる体制を整えておくことも大切です。ウッズ氏が指摘した4つ以外にも思い込みがあるかもしれません。テクノロジーの進歩とともに企業ITを取り巻く環境も刻一刻と変わっていきますので、思い込みにとらわれることなく状況を分析し、出来るところからすぐ手を打っていきましょう。
