2023年05月01日
コロナ禍の教訓をセキュリティ対策に活かす
この数年、世界中が新型コロナウイルスのパンデミックに晒されてきました。最近になりようやくマスク着用が任意となり、人々の動きも徐々にコロナ禍前に戻り始めました。振り返ってみると、我々人類はウイルスの脅威に対し、試行錯誤を交えつつ様々な対策を実施してきました。今後もウイルスとの闘いは続くと想定されますが、今回はこれまでのコロナ禍対策の経験や教訓を参考に、益々高まるサイバー攻撃の脅威への対策について考察してみます。
コロナウイルスが流行り始めたとき、まず行われたのはその正体と感染対象を特定することでした。老若男女や人種に関係なく罹患するのか、重篤になるのは高齢者や基礎疾患のある人だけなのか?などを明らかにしないと対策は打てませんでした。人は誰もが、何回でも感染することが分かり、感染者数が急増していくと、最初にマスク着用や室内換気の励行が感染防御策としてガイドされました。さらに当初は発生クラスターとその関係者追跡という、局所的・事後的対策のみに終始していましたが、コロナウイルスのワクチンが開発され、網羅的に接種することで、効果的な感染予防ができるようになってきました。
| サイバー衛生管理 | 有事対応 | ||||
|
米国国立標準技術研究所(NIST) CSF:サイバーセキュリティフレームワーク |
特定 Identify |
防御 Protect |
検知 Detect |
対応 Respond |
復旧 Recover |
|
守るべき資産と 驚異の特定 |
サイバー攻撃防御 | 防御をすり抜けた攻撃の検知 | 攻撃を封じ込め、迅速な対応 | 攻撃の影響を除去し、早く復旧 | |
|
コロナ禍 対策 |
コロナウイルスと その脅威の特定 |
マスク、手洗励行、換気、ワクチン |
PCR検査、 抗原検査 |
隔離、入院 | 処置、投薬 |
図表:NISTサイバーセキュリティフレームワークとコロナ禍対策
コロナ禍対策をセキュリティ対策の代表的なフレームワークであるCSF(Cyber Security Framework)に照らしわせると上図の黄色部分のようになります。CSFとはセキュリティ対策の代表的フレームワークで、ISMSやCIS Controlsとともに、世界の多くの企業や組織がサイバーセキュリティ対策を向上させるための指針として利用しています。CSFはオバマ元大統領の大統領令「重要インフラのサイバーセキュリティ改善」を受けて、米国国立標準技術研究所(NIST)により政府や民間の意見を集めて作成され、日本でも広く活用されています。また、CSFでは、近年、製造業において重要性が増してきたサプライチェーンでのセキュリティ管理も強調され、取引企業からの情報漏洩を防ぐためのセキュリティ対策を定めたガイドラインとなっています。
CSFのサイバーセキュリティ対策としてまずやるべきことは、特定と防御です。特定とは、全社に存在するPCやソフトなどの資産を網羅的に可視化することです。次に、サイバー攻撃の防御に相当するのはID管理やアクセス管理であり、各人の強度の高いパスワード管理が求められます。また、コロナウイルスのワクチン接種がシステムのパッチや修正プログラムに相当し、タイムリーにもれなく適用することで脆弱性解消に繋がります。この特定・防御領域はサイバーセキュリティでも「衛生管理」と呼ばれます。コロナ禍対策を経験した我々は、衛生管理をしっかり実践することがなにより大切であり、感染リスクを大幅に軽減することを学びました。セキュリティ対策においても衛生管理の大切さは変わらないと理解すべきです。
コロナ禍の経験から分かったことは、コロナウイルスは、マスク着用や換気、そしてワクチン接種を行うことで感染リスクを大幅に軽減することができるものの、万全ではありませんでした。どのように厳重に予防しても、感染は必ず発生することを学びました。そこで不可欠になったのが、感染判定を定常的かつ効率的に行えるPCR検査体制であり、陽性者を隔離し、回復を手助けする入院体制でした。さらに、これら検査と隔離、入院の実施スピードが、感染拡大と死亡率を大きく左右することが分かりました。
サイバー攻撃においてもコロナウイルスと同様に、検知・対応・回復からなる「有事対応」が必須となります。コロナウイルスが絶えず変異していくのと同様に、新たなマルウエアが日々生まれています。どれだけ防御してもかならず侵入されるものと考える必要があります。防御をすり抜けた攻撃の検知が遅れると感染は一気に拡大してしまい、対応に手間取ると業務停止など甚大な被害を及ぼします。検知と対応に要する時間をできるだけ短縮する対策が必要になります。そのためには、ログやトラフィック監視などのシステム・ツールの整備だけではなく、有事の際に検知・対応・復旧を適切に運用できるよう、日頃から一般社員への周知徹底や有事対応の訓練が重要であることを再認識することができました。
コロナ対策全般の反省として、緊急事態による休業や休校の基準や運用、そして防御・隔離・入院の手順や体制整備が都道府県に任され、対策の格差や巧拙がありました。結果として、限られた予算や人的リソースが有効に利用されず、衛生管理や有事対応の不備で感染者を拡大させてしまった一面もあったように思います。逆に、必要以上の自制要求により就業や学業が阻害された面もありました。これらの反省点は、サイバー攻撃対策において、各社のセキュリティポリシーの整備・見直しに活かしていくべきです。自社の情報資産をセキュリティの脅威から守るため、CSFの特定・防御・検知・対応・復旧のそれぞれに対して、「考え方、方針、基準が具体的に記載されているか」、「セキュリティが確保できるのか」などを再確認し、必要に応じて見直していく必要があります。この見直しは、社員のセキュリティ意識の向上にもつながります。
セキュリティ対策は社内のセキュリティ担当者など一部に人に任せておけばよいものでもなく、システム面の対策のみで解決できるものでもありません。コロナ過が一段落したこの機に、コロナ禍の経験・教訓を踏まえて、自社のセキュリティ対策を改めて整備し、社員のセキュリティ意識を高められることを提案します。
2023年5月
ITの可能性が満載のメルマガを、お客様への想いと共にお届けします!
Kobelco Systems Letter を購読
電話でのお問い合わせはこちら
Webでのお問い合わせはこちら