お役立ちコラム

導入済み企業のニーズから知る、セキュリティ対策のツボ

パソコンがインターネットに繋がるようになったことで、ビジネス環境は大きな進化を遂げました。ですが、外部からの攻撃にさらされる危険もまた高まってきています。ITは企業活動を下支えするものですが、ITを安全に使うためのセキュリティ対策が逆に企業の負担となってしまっている面もあります。中小企業にとっては「最小限の労力で最大限の効果を挙げるセキュリティ対策」を知ることが重要となってきます。そこで、本稿では既にセキュリティ対策を講じている中小企業を対象に実施したアンケート調査の結果を元に「セキュリティ対策のツボ」を探ってみたいと思います。

 

 

セキュリティ対策を実施済みの企業が何を望んでいるか?がヒントとなる

以下のグラフはセキュリティ関連の製品/サービスを導入済みの従業員数49人以下の企業に対して、セキュリティ製品/サービスに今後望む機能や特徴を尋ねた結果のうち、比較的回答件数の多かった項目を列挙したものです。ここでのセキュリティ製品/サービスとはPCやサーバを対象とした攻撃やメール/ホームページを介した攻撃から企業の資産やデータを守るソフトウェアパッケージやクラウドサービスを指します。

既にセキュリティ対策を講じている中小企業が何を望んでいるか?を知ることによって、逆に何をすべきか?またはすべきでないか?のポイントが見えてくるはずです。選択肢は全部で10項目ありますが、大きく3つのグループに分けてあります。これらのグループ毎に詳細を見ていきましょう。

 

noak

 

グループ1. 昨今の変化に対処するための新たな取り組み

1番目のグループに属する選択肢は以下の3つです。

1-1.管理機能をWebブラウザから利用できる

1-2.標的型攻撃にも対処することができる

1-3.複数のログを照合し、危険を予知できる

これら3つの項目は昨今のセキュリティ対策に求められる新たな変化を示しています。ITを用いた社内外のやりとりは益々増えつつあります。もし「ウイルスに感染した」「データが消失した」といった事態が発生すれば、一刻も早く対処する必要があります。ですが、専任のセキュリティ担当を配置している中小企業は少なく、何らかの業務を兼任している場合がほとんどでしょう。そうなると、有事の際に対策を講じる社員が常に社内にいるとは限りません。場合によっては社外から状況を把握する必要も出てきます。「1-1.管理機能をWebブラウザから利用できる」はこうした状況を反映したニーズといえます。

 

「1-2.標的型攻撃にも対処することができる」に書かれた「標的型攻撃」とは何でしょうか?昨今ではSNS(FacebookやTwitterなど)を利用して自身の情報を発信している方も多いかと思います。それを見れば、「誰がどのような会社で働いているか?」を知ることができます。これを悪用すると、上司や同僚になりすましてメールを送るといったことも可能となってきます。顔見知りの社員の名前で「この資料ちょっと見てくれない?」と書かれたメールが届いたら、何の疑いもなく添付ファイルを開いてしまうのではないでしょうか。良く見れば送信元のアドレスがちょっと違っていたりするのですが、日々届くたくさんのメールをそこまで細かくチェックしている人は少ないでしょう。このように特定の企業や個人を狙ったものが「標的型攻撃」です。

 

標的型攻撃によって開かれた添付ファイルにはまだ世の中に出回っていない悪意のあるプログラムが含まれています。そのため「既に存在している悪意のあるプログラムと照合する」という従来型の対策だけでは検知できない可能性もあります。こうした未知の悪意のあるプログラムに対しては立ち振る舞いをチェックすることが有効な対策の一つです。例えば、普段とは違うデータの流れであったり、普段はほとんど使わないPC内のツールが使われていたりといった「兆候」を捉えるわけです。グラフ中の「1-3.複数のログを照合し、危険を予知できる」はまさにそうした対策を指しています。

 

このようにセキュリティ対策は新たな攻撃手法に合わせて進化させていく必要があります。IT活用について専門家に相談する機会があった時には「ウチのセキュリティ対策の場合、標的型攻撃のような新しい手法にも対処できていますか?」と訊いてみて、色々と説明を求めてみると良いかと思います。

 グループ2. セキュリティ対策が負担にならないための対処

2番目のグループに属する選択肢は以下の5つです。

2-1.セキュリティ対策に関する手作業を自動化できる

2-2.必要な対策が全て含まれており取捨選択が不要である

2-3.ネットワークに負荷をかけずにPC保護対策を実施できる

2-4.管理用のサーバを導入する必要がない

2-5.データベースなどのミドルウェアを導入する必要がない

冒頭でも触れましたが、中小企業にとってはセキュリティ対策の負担をいかに軽減するかが重要となってきます。選択肢の2-1や2-2が示すのは「人的負担の軽減」です。例えば、「スパムメールかどうか?」の判断はツール側に行ってもらった方が楽です。また、「PCを守ることはできるが、タブレットは対象外」となると対策に抜け道ができてしまいます。専門家の助言なども参考にしながら、「手作業でカバーしている箇所はないか?保護されていない抜け道はないか?」を確認しておきましょう。

 

選択肢の2-3、2-4、2-5が示しているのは「運用負担の軽減」です。端的に言えば、「高度過ぎるセキュリティ対策は逆に負担を大きくする」という教訓をこの3つの選択肢は暗示しています。例えば、インターネットを介してPCの状況を常に監視してくれるサービスがあれば、PCを守るという観点では安心です。ですが、常に多くのデータがネットワークを流れることになり、ファイルのやりとりなどが遅くなってしまうかも知れません。また、複数台のPCにセキュリティ対策ツールを適用する際には配布を担うサーバを社内に設置しておくと便利です。ですが、そのサーバ自身についてもセキュリティ対策を講じておく必要が出てきます。さらに、情報漏えい対策の中には「PCの操作内容を全て記録する」というものがあります。外部からの攻撃だけでなく、故意/過失による情報漏えいを防止/抑止する手段としても有効です。ですが、これを実現するためには操作内容を記録するデータべースが必要となる場合もあります。

 

このように高度なセキュリティ対策の中には新たなIT機器が必要となるものもあります。セキュリティ対策を検討する際には「その対策のために新たなIT機器の導入が必要となるのかどうか?」を確認しておくことが大切です。

 グループ3. データ保護対策との兼ね合い

3番目のグループに属する選択肢は以下の2つです。

・3-1.バックアップ対策と統合した導入/運用が可能である

・3-2.社内に置いたデータをクラウドサービスを用いて保護できる

セキュリティ対策といった場合、通常は「外部からの攻撃に対する防御」を指しています。

 

ですが、「外部から攻撃されてファイルが消えてしまった」というケースも、「社員が操作を間違ってファイルを消してしまった」というケースも、ファイルが消えて業務が滞ってしまうという点では同じです。つまり、業務を安全/円滑に遂行するために何が必要か?という視点に立つと、セキュリティ対策はデータ保護対策とも密接に結びついているといえます。

 

つまり、「原因は何であれ、無くなったファイルを復元する手立てを用意しておきたい」ということになります。3-1や3-2はまさにこの視点から提示されたニーズといえるでしょう。このようにセキュリティ対策はデータ保護対策とセットにして検討することが重要といえます。

 

ここまで、実際にセキュリティ対策を講じている企業が何を望んでいるか?の調査結果を元に「中小企業におけるセキュリティ対策のツボ」を見てきました。全体に共通する重要なポイントは「常に広めの視点を持つ」ということです。企業が新たなセキュリティ対策に取り組む時期は何らかの問題を経験した直後であることが少なくありません。その時は問題となった箇所だけに注目してしまいがちですが、そこで少し視点を広げて「この機会に***のようなケースも想定した対策を立てておいた方が良いかもしれない」と考えてみるわけです。実行に移すかどうかは別として、こうした検討をすることでセキュリティ対策に対する理解が深まってきます。セキュリティ関連のニュースがあった時に「もし、ウチの会社だったらどうなっていただろう?」というのを頭の中でシミュレーションしてみるのも良いでしょう。このように少しずつ視点を広げる習慣をつけておくと、いざ必要となった時に自社に合った適切な判断ができるのではないかと思います。

 

執筆者

iwakami岩上 由高(いわかみ ゆたか)

株式会社ノークリサーチ シニアアナリスト

早稲田大学大学院理工学研究科数理科学専攻卒業後、ジャストシステム、ソニーグローバルソリューションズ、ベンチャー企業数社にて、ユーザ企業に対するIT活用提案の経験を積む。ノークリサーチではこうした経験を活かしたリサーチ /コンサル /講演 /執筆活動などを担当。
著書に「クラウド大全」(共著)(日経BP社)などがある。

http://www.facebook.com/yutaka.iwakami
http://twitter.com/Yuhtan

 

お役立ちコラムの
トップへ

ページの先頭へ