セキュリティについて

特にここ最近はセキュリティの話だったり考えないといけないことが多くなってきております。そこで、セキュリティのプロではないなりに、改めてセキュリティについて考えてみました。

セキュリティの対策が必要というのは誰もが思うところでもありますし、やったほうがいいというのは疑いのないことかと思います。

しかしながら、実状を考えると、なかなか簡単にいかないものです。例えば以下のような課題が出てきます。

  • 必要なのはわかるけど、そこまでコストをかけることができない
  • 必要なのはわかるけど、なにをやったらいいのかわからない
  • 必要なのはわかるけど、どこまでやったらいいのかわからない (いたちごっこ状態)

私も例にもれず上記の課題を抱え、どこかに素晴らしい完璧な方法があるんじゃないか、と探していましたが、ある方からの回答としては

「絶対にセキュリティのリスクをなくすには、持たないこと

なるほど。確かにセキュリティにおいて大切なことは、なにかを取られないようにすること。それを持たなければ起きない! (取られて困る情報を持たない、踏み台にされるようなPC自体を持たない、とかとか)ではあるのですが、これだとビジネスにならないですね。

では、どういう考えでやっていくべきか?の回答が必要になりますが、色々話を聞いたりした結果としては以下になりそうです。

 

  1. 取られないように防御策をとること (ここに絶対はない)
  2. 取られても(取られそうになったら)気付けること
  3. 取られたとしても被害を最小限にしておくこと

 

つまり、絶対的に大丈夫という方法がない以上は、そもそも取られないようにする→取られそうになっても気づいて防ぐ→仮に最悪取られても被害を最小限にする といった多段階での考慮が必要になります。

 

現実世界で考えてみましょう

仮に、あなたのお家に現金があるとしましょう。これを取られると困りますよね? 一方、お金を持たなければ取られることもないですが、生活できないかと思います。

そうしたときに、どういう方法が考えられるでしょうか? 上記の方針に沿って考えて見ると以下になるかと思います。

 

方針1:取られないように防御策をとること

・家に鍵を必ずかける

・壊れにくい窓を設置する

・天井裏とかわかりにくいところに置いておく

などなど

 

方針2:取られても(もしくは取られそうになったら)気付けること

・防犯ブザーを設定する

・xx 警備保障などの警備会社と契約する

・防犯のIoTを設置してスマホに通知

などなど

 

 

方針3:取られたとしても被害を最小限にしておくこと

・必要最低限の現金だけにして、銀行に預けておく

・いろいろな場所に現金を散らばせて保管しておく

・盗難被害用の保険にはいっておく

などなど

 

 

こう見ると、特別初めて聞くことなどはないかと思いますし、やっていることはやってるし、やってないものはやってないかと思いますが、基本上記の方針のどれかに入ってるのではないでしょうか。

 

IT世界で考えてみましょう

IT (情報セキュリティ)の場合どうなるでしょうか?今一番使用されているAWS(Amazon Web Services)をベースに考えてみましょう。(少し専門的な話になります)

 

方針1:取られないように防御策をとること

・アカウントのパスワードを強固にする。多段階認証 (MFA) を設定する。

・セキュリティグループで必要最低限のポートのみをオープンにする、IP制限をかける

・AWS WAF によるWebアプリケーション保護を行う

・辞めたユーザーは削除する

などなど

 

方針2:取られても(もしくは取られそうになったら)気付けること

・GuardDuty を設定して、検知できるようにする

・VPC フローログ/AWS Config/Cloud Trail といったログを有効にし、起きたときの影響範囲や経路などわかるようにする

などなど

 

方針3:取られたとしても被害を最小限にしておくこと

・アカウントに付与する権限を最低限にしておく

・サーバー上にキーは置かないようにして、EC2ロールやキー管理のKMSを使用する

・サイバーセキュリティ保険に加入しておく

などなど

 

このように、AWSにおいても、各種のサービスは上記の方針を満たすために提供されていることがわかるかと思います。なお、AWS において、一番セキュリティ被害がでる原因としては、「アカウント管理の問題」とのことです。つまり、アカウント情報が取られてしまい、いろいろな被害を受けてしまうというのが一番起きている問題とのことです。

 

全部やらないといけないのか?

これに関する回答は非常に難しいと思っています。最初に上げた懸念として、コストをどこまでかけるべきかとのトレードオフにもなってきますし、やるに越したことはないですが、莫大な投資をどのプロジェクトでできるかというとそういうわけでも無いかと思います。

まず、この手の話でよく言われるのが、セキュリティ対策はコストではなく「投資」であること。事業が成長すればするほど、今はセキュリティのリスクが増えてきます。また、セキュリティインシデントが発生すると、事業の成長を大きく阻害します。

継続的な事業の成長を支えるために、このリスクを除外することは、なにも生み出さない費用ではなく、「投資」になる。という考え方です。そうしたときに、大切なのは、以下を把握しておくことではないでしょうか。

・どこに投資をしてどこに投資をしないかを把握

・今どこに投資すべきか

例えば、スタートしたサービスでは個人情報はもっていないし、保持しているデータが漏洩してもそこまで被害がでないのであれば、例えば一番被害が多いアカウントの管理だけは徹底して対処する(ただし、ログで追えないといった状況であることなど把握しておく)。今後重要な情報を持ったら、検知だったりを入れていくといった方針でも良いかと思います。

 

どうせ大きな企業が狙われるんでしょ?

確かにニュースになっているのは、大企業のニュースが多い(被害額も多いので)ですが、実状はそんなことはありません。

例えば、Google で、「aws 高額請求」と調べてみてください。結構個人の方でも、被害にあっていることが確認できると思います(こちらもアカウントやキー情報が取られてしまい、マイニングのサーバーを作られて高額請求といった問題などが起きています)

つまり、大企業ではないから他人事。とはならない時代になっていることを認識することも大切です。

 

つまり

ここでお伝えしたかったのは以下です。

・セキュリティについては規模に関係なく他人事ではないこと

・100%防ぐのは難しいので、多段階で対策を取る必要があること

・すべてをやるのは現実的に難しいので、現状を把握して、それに沿った方針を決定すること

 

夢がないことをいうと、セキュリティ対策って言うほど簡単ではないです。ぜひ、セキュリティについても「投資」の一環として戦略・対策をとっていってもらえればと思います。