第5回 スペシャリストがあえて言う「セキュリティは80点で良し」の理由
公開:2019年3月25日
- ※本記事は2018年9月のメールマガジン配信記事です。
さて、前回は「スペシャリストが解説「『あえて中小企業を狙う』サイバー攻撃から身を守る方法」についてお送りしました。サイバー犯罪の被害にあった場合の備えや、セキュリティ先進国・アメリカでのとりくみについてお話していただきました。
5回目はスペシャリストがあえて言う「80点のセキュリティを見つける!」の理由についてお送りします。サイバーリスクに備えて企業の被害を最小限にするための「サイバーリスク保険」を開発した東京海上日動火災保険の教学さんに、お話を伺いました。サイバー犯罪の被害にあった場合の備えやセキュリティ先進国・米国での取り組みなどについても教えていただきました。
それでは、 お付き合いください。
目次
1. 2020年に「20万人」、セキュリティ人材の不足が深刻
「セキュリティの重要性は分かっている。ただ人的にも資金的にも厳しくて…」。ネットでの情報漏えいやサイバー攻撃の報道が跡を絶たない中、多くの企業の本音はそうではないだろうか。だが、手をこまねいていては自社が標的になるだけでなく、他社の攻撃の〝踏み台〟にされて、ホームページにアクセスした一般ユーザーにウイルスを感染させる〝加害者〟にもなりかねない。
限られた予算と人員の中でいかにセキュリティを高めるか、Webアプリケーションに特化したセキュリティサービスを展開する株式会社セキュアスカイ・テクノロジー(以下、SST)取締役会長の乗口雅充さんに、現場のリアルな実情を踏まえた話をうかがった。
セキュリティ担当者の人材不足について、経済産業省が2016年にまとめた「IT人材の最新動向と将来推計に関する調査結果」では、中長期的にも今後ITに対する需要は引き続き増加する中で、国内の人材供給力が低下することから人材不足は今後より深刻化する恐れが高いと分析している。具体的には情報セキュリティ人材は2016年時点で13万2000人不足しているのが2020年には19万3000人に膨らむと推計する。
乗口さんは「EC(インターネット通信販売)系やゲーム系の企業は早くからセキュリティ担当者を置いていましたが、大手といわれる会社でもセキュリティ組織ができて1、2年くらい。中堅以下の企業や製造業などは遅れています。セキュリティ人材は引く手あまたなので大手に集中する傾向があり、それ以外の企業はますます人手不足になっているのが私の実感です。」と語る。
2. 私はあえて言う、セキュリティ担当者は「人間力」があると上手くいく
サイバーセキュリティというと技術よりな理系の人材をイメージしがちだが、乗口さんは必要な人材について「真に重要な素養は、覚悟・マインド・コミュニケーション能力の三つだと考えます。」と指摘する。
「社内でインシデント(ミス・事件)が起きてしまったときに『セキュリティが前進するチャンス』と思えるぐらいの覚悟がないとつとまらないハードな仕事です。」
具体的には
- 経営層への説明・説得
- 事業費の確保
- 社会教育体制の確立
- セキュリティ診断などの対策
上記について責任をもち実施できる人材と話す。
一方、「遅れている」といわれる九州でも、セキュリティ人材を育成する動きも出てきた。
九州大学など7大学が2018年度から始めた「enPiT
Pro(エンピットプロ)」の取り組みは、連載2回目で紹介した。ほかにも、長崎県立大学の日本初の情報セキュリティ学科が2020年に第1期卒業生を社会に送り出す。また、乗口さんは九州経済連合会も情報通信委員会の活動を通じて啓発活動を行っている。
さらに、それらの裾野となっているのが、学生や社会人が九州各地で運営するコミュニティ(セキュ鉄、ばりかた勉強会、九州学生エンジニア連合など)である。SSTでは、これらのコミュニティの勉強会への運営支援も行なっている。
3. 「80点のセキュリティを見つける」の理由とは
とはいえ、セキュリティ人材の育成には、それなりの時間が必要。そこで乗口さんは「システム・ネットワーク担当者が今の仕事量を20%だけセキュリティに振り向ける。」という提案をする。
コストをかければ安全性は高まるが100%のセキュリティは達成できない。なぜならセキュリティ上のぜい弱性を見つけるのは攻撃側が常に有利な立場にあるためだ。それならば企業が耐えられるコストで最大限のリスクヘッジを行おうという発想である。80点の対策で守れない部分は「インシデントは起こるということを前提に、起こった先をどうするか。どんな対応をしてどこにヘルプを頼むかを考えるのです。」と乗口さんはアドバイスする。いわばサイバーセキュリティ上のBCP(事業継続計画)である。
4. 「攻撃者との戦いは終わらない」セキュリティ担当者が備えるべき手立て
セキュリティ対策において近年、セキュアなWebアプリケーションを維持することが重要になっている。Webアプリケーションとは、Web上で働くプログラミングのことで、その機能は検索、アンケートフォームからネット通販、ネットバンキングまで多岐にわたる。
問題なのは、Webアプリケーションは大手ソフトメーカーが提供するOS(基本ソフト)などと違い、ユーザーの発注によってオーダーメイドされるものがほとんどなので、プログラム上のぜい弱な部分が多い点だ。2000年ごろから指摘されていたが、Webアプリケーションのぜい弱性を突かれた被害が増えてきたことで注目を集めるようになった。2017年にはクレジットの代行決済を取り扱う大手企業がぜい弱性を悪用され約40万5000件のクレジットカード番号などが流出したインシデントが起きた。
Webアプリケーションを攻撃から守るには、近年ではWAF(Webアプリケーションファイアウォール)が主流となっている。不正な通信や攻撃パターンをまとめた定義ファイルと照らし合わせながら攻撃を無害化する仕組みだが、高額な専用機器、適切に運用できるオペレーターが必要になることから敷居が高かった。しかし、SSTが提供しているクラウド型WAF「Scutum(スキュータム)」 は、専用機器の設置が不要で、導入するまでの準備期間も短い。また、「社内にセキュリティの専任が不在の企業でも、導入後に必要な運用はすべてお任せで、常に最新のセキュリティ対策を維持することができます。」と胸を張る。
ICTを使った商取引や顧客管理などさまざまなサービスは、2020年の東京五輪・パラリンピック開催へ向けて、ますます増大するだろう。それを担うWebアプリケーションも高度化してより便利になり、新しい開発言語も登場するだろう。しかし、それは新たなセキュリティの穴ができることにもつながる。
「穴がゼロになるのが理想。ですが、攻撃者との戦いは終わらないでしょう」と乗口さんは断言する。まずそれを肝に銘じることがセキュリティの第一歩かもしれない。
あとがき
サイバー犯罪は年々巧妙化しているものの、セキュリティ担当者の人材が現時点で13万人も不足していることに驚きました。日本にとって一大イベントとなる2020年にはさらに増え20万人になる予想だそうです。
深刻な問題ですね…。乗口さんによれば、セキュリティ担当として適任なのは意外にもITスキルのある技術者ではなく「人間力」のある人材とのこと。セキュリティ担当者の不足に悩む企業は、人間力のある人材が社内にいないか見直してみるといいのかもしれませんね。