スペシャリストがあえて言う「80点のセキュリティを見つける」が正攻法

こんにちは！QTnetの山﨑です。
肌寒い日が続き、いよいよ秋ですね。
今年は例年にない猛暑で、疲労の蓄積や夏バテで食が細くなってしまった方も多いのでは。
そろそろ出回る「秋の味覚」から栄養をたくさんとって、体の調子を整えたいですね。

================================================================================
さて、前回のセキュリティ記事では「スペシャリストが解説「『あえて中小企業を狙う』サイバー攻撃から
身を守る方法」についてお送りしました。サイバー犯罪の被害にあった場合の備えや、
セキュリティ先進国・アメリカでの取組についてお話していただきました。

もう一度読みたい方は≪アーカイブ≫からお読みいただけます。

5回目はスペシャリストがあえて言う「80点のセキュリティを見つける」が正攻法についてお送りします。
================================================================================

＜今回の特集＞
1 2020年に「20万人」、セキュリティ人材の不足が深刻
2 私はあえて言う、セキュリティ担当者は「人間力」があると上手くいく
3 「80点のセキュリティを見つける」が正攻法の理由とは
4 「攻撃者との戦いは終わらない」セキュリティ担当者が備えるべき手立て

1 2020年に「20万人」、セキュリティ人材の不足が深刻

「セキュリティの重要性は分かっている。ただ人的にも資金的にも厳しくて…」。ネットでの情報漏えいや
サイバー攻撃の報道が跡を絶たない中、多くの企業の本音はそうではないだろうか。
だが、手をこまねいていては自社が標的になるだけでなく、他社の攻撃の〝踏み台〟にされて、
ホームページにアクセスした一般ユーザーにウイルスを感染させる〝加害者〟にもなりかねない。

限られた予算と人員の中でいかにセキュリティを高めるか、Webアプリケーションに特化したセキュリティ
サービスを展開する株式会社セキュアスカイ・テクノロジー取締役会長の乗口雅充さんに、
現場のリアルな実情を踏まえた話をうかがった。

セキュリティ担当者の人材不足について、経済産業省が2016年にまとめた「IT人材の最新動向と将来推計に
関する調査結果」では、中長期的にも今後ITに対する需要は引き続き増加する中で、国内の人材供給力が低下
することから人材不足は今後より深刻化する恐れが高いと分析している。具体的には情報セキュリティ人材は
2016年時点で13万2000人不足しているのが2020年には19万3000人に膨らむと推計する。

乗口さんは「EC（インターネット通信販売）系やゲーム系の企業は早くからセキュリティ担当者を
置いていましたが、大手といわれる会社でもセキュリティ組織ができて1、2年くらい。中堅以下の企業や
製造業などは遅れています。セキュリティ人材は引く手あまたなので大手に集中する傾向があり、それ以外の
企業はますます人手不足になっているのが私の実感です」と語る。

2 私はあえて言う、セキュリティ担当者は「人間力」があると上手くいく

サイバーセキュリティというと理系の人材をイメージしがちだが、乗口さんは必要な人材について
「真に重要な素養は、覚悟・マインド・コミュニケーション能力の三つだと考えます。と指摘する。

具体的には①経営層への説明②事業費の獲得③社会教育体制の確立④セキュリティ診断などを責任をもって
行える人材だ。
「社内でインシデント（ミス・事件）があれば『セキュリティが前進するチャンス』と思えるぐらいの
覚悟のある人間でないとつとまらない。クレームに対処できる人間力、法的な知識などが必要。
技術的な知識は勉強すれば後から付いてきます」と乗口さん。「そう考えると社内にもコントローラーの
適任者がいるかもしれません」

一方、「遅れている」といわれる九州でも、セキュリティ人材を育成する動きも出てきた。

九州大学など7大学が2018年度から始めた「enPiT Pro（エンピットプロ）」の取り組みは、連載2回目
で紹介した。ほかにも、長崎県立大学の日本初の情報セキュリティ学科が2020年に第1期卒業生を社会に
送り出す。また、九州経済連合会も情報通信委員会の活動を通じて啓発活動を行っている。
さらに、それらの裾野となっているのが、学生や社会人が九州各地で運営するコミュニティ（セキュ鉄、
ばりかた勉強会、九州学生エンジニア連合など）である。
各コミュニティの勉強会への講師派遣など運営支援を行なっている。

3 「80点のセキュリティを見つける」の理由とは

とはいえ、セキュリティ人材の育成には、それなりの時間が必要。そこで乗口さんは「システム・
ネットワーク担当者が今の仕事量を20％だけセキュリティに振り向ける」という提案をする。

コストをかければ安全性は高まるが100％のセキュリティは達成できない。なぜならセキュリティ上の
ぜい弱性を見つけるのは攻撃側が常に有利な立場にあるためだ。それならば企業が耐えられるコストで
最大限のリスクヘッジを行おうという発想である。80点の対策で守れない部分は「インシデントは起こる
ということを前提に、起こった先をどうするか。どんな対応をしてどこにヘルプを頼むかを考えましょう」と
乗口さんはアドバイスする。いわばサイバーセキュリティ上のBCP（事業継続計画）である。

4 「攻撃者との戦いは終わらない」セキュリティ担当者が備えるべき手立て

セキュリティ対策において近年、セキュアなWebアプリケーションを維持することが重要になっている。
Webアプリケーションとは、Web上で働くプログラミングのことで、その機能は検索、
アンケートフォームからネット通販、ネットバンキングまで多岐にわたる。

問題なのは、Webアプリケーションは大手ソフトメーカーが提供するOS（基本ソフト）などと違い、
ユーザーの発注によってオーダーメイドされるものがほとんどなので、プログラム上のぜい弱な部分が
多い点だ。2000年ごろ
から指摘されていたが、Webアプリケーションのぜい弱性を突かれた被害が増えてきたことで注目を集めるよう
になった。2017年にはクレジットの代行決済を取り扱う大手企業がぜい弱性を悪用され約40万5000件の
クレジットカード番号などが流出したインシデントが起きた。

Webアプリケーションを攻撃から守るには現在ではWAF（Webアプリケーションファイアウォール）が主流と
なっている。不正な通信や攻撃パターンをまとめた定義ファイルと照らし合わせながら攻撃を無害化する
仕組みだが、高額な専用機器、適切に運用できるオペレーターが必要になることから敷居が高かった。しかし、
乗口さんの会社が提供しているScutum（スキュータム） のようなクラウド型WAFは、専用機器の設置が必要なく、
運用開始までの期間も短いという利点がある。また、「社内にセキュリティの専任が不在の企業でも、
導入後に必要な運用はすべてお任せで、常に最新のセキュリティ対策を維持することができます。」と胸を張る。

ICTを使った商取引や顧客管理などさまざまなサービスは、2020年の東京五輪・パラリンピック開催へ向けて、
ますます増大するだろう。それを担うWebアプリケーションも高度化してより便利になり、新しい開発言語も
登場するだろう。しかし、それは新たなセキュリティの穴ができることにもつながる。

「穴がゼロになるのが理想。ですが、攻撃者との戦いは終わらないでしょう」と乗口さんは断言する。
まずそれを肝に銘じることがセキュリティの第一歩かもしれない。

＜あとがき＞
サイバー犯罪は年々巧妙化しているものの、セキュリティ担当者の人材が現時点で13万人も不足している
ことに驚きました。日本にとって一大イベントとなる2020年にはさらに増え20万人になる予想だそうです。
深刻な問題ですね…。乗口さんによれば、セキュリティ担当として適任なのは意外にもITスキルのある技術者
ではなく「人間力」のある人材とのこと。セキュリティ担当者の不足に悩む企業は、人間力のある人材が
社内にいないか見直してみるといいのかもしれませんね。

＜サービス情報＞

▼QT PRO セキュアモバイル

【モバイルワーク】にはコレ！
・建築現場などの期間限定オフィスから本社に安全にアクセスしたい
・短期間で通信環境を整えたい
・セキュリティ対策を万全にしたい

セキュアモバイルは、イベントや催事、建築現場などの期間限定のオフィスにも最適。
安全な通信環境を構築します。インターネットを経由しないSIMカードを使うので、
不正アクセスも防ぎます。

▼QT PRO 仮想デスクトップ

【在宅勤務】【モバイルワーク】にはコレ！
・外出先でも社内と同じ環境で作業したい
・機密情報を紙で持ち歩くリスクを回避したい
・自宅からも安全に社内データにアクセスしたい
・セキュリティ対策を万全にしたい

仮想デスクトップは、訪問先や移動中も社内デスクトップと同じ環境を実現します。
閉域ネットワーク上のサーバーに普段のデスクトップを設定しておけば、外出時の
ノートPCが「いつものデスクトップ」に。端末にデータも残らず、情報漏えい対策も
万全です。

▼QT PRO マネージドセキュリティ

【社内のセキュリティ強化】にはコレ！
・システム担当者のリソース不足
・セキュリティについての専門知識がない
・セキュリティ機器の購入や運用のノウハウがない
・セキュリティ対策を万全にしたい

マネージドセキュリティは、「24時間365日、専門家の監視」で
不正アクセスから防御。セキュリティ機器の購入、設置、運用管理など
すべて不要です。システム担当者は本来の業務に集中でき、生産性ＵＰに貢献◎
システム担当者の負担軽減とセキュリティ対策の両方を実現します。

▼QT PRO 標的型メール訓練サービス

【社内のセキュリティ強化】にはコレ！

・セキュリティ意識が低い従業員を教育したい

・攻撃に遭いやすい部署や役職など、弱点を洗い出したい

・サイバー攻撃を受けた場合の対処法がわからない

・最新のサイバー攻撃手法やインシデント事例を知りたい

標的型メール訓練サービスは、重要な情報の搾取目的で送信される攻撃メールに

対応できるように従業員を訓練するサービス。取引先の依頼文書や業務連絡を装って

送信されまる攻撃メールに対して、不審なメールを見分けるポイントや対策をレクチャー。

実施後は、部署や役職ごとに詳細な報告会も実施して、セキュリティ意識の向上を図ります。