セキュリティ対策はどこまでやったらいいのか?お金がかかりすぎる。中小企業のみならず経営課題としてセキュリティ対策は大きな悩みの一つであろう。絶対とか完全は無いのだが、インシデントが発生しその原因が不適切な対策だったことが明るみに出た時のダメージは相当なものになるであろう。どの程度まで実施するべきなのか、一定の答えを与えてくれるのが、セキュリティを数値で捉えるという視点だ。本稿では数値化がもたらす意義について解説する。
✔️ セキュリティ対策を数値化することの意義
✔️ 比較対象は自社のセキュリティポリシー
✔️ ログ管理がセキュリティ対策の実効性の指標
セキュリティ対策を数値化することの意義
セキュリティ対策を可視化するという意味では、数値で判断できるようにするのは有効な手段だ。経済産業省が、2025年度に企業のサイバーセキュリティ対策を評価し、5段階で格付け認定する制度をスタートさせるという報道があった。これも、数値化の一つであろう。
セキュリティ対策の数値の決め方
何かの規定やガイドラインがあるわけではないので、自由に決めることでいい。例えば、セキュリティ対策ツールの一つ、「ウイルス対策ソフトの導入・運用」という項目を数値化するとしてみよう。ここでは5段階で評価する。
導入して稼働しているが、パターンファイルの更新など常に最新の状態で稼働させなければ本来の機能は発揮できない。その状態を満点(5点)とし、状態に応じた評点設定をする。10点満点にすると細かい状態チェックはできるが管理視点が複雑になるため、ここに例示したように5段階くらいが妥当かと思われる。
セキュリティ教育実施についても数値化
ツールの導入のみならず、セキュリティを含めたITリテラシー教育についても同様に評点することが可能である。
セキュリティ対策を強化する上では、ツール導入が選択肢の一番である必要はなく、自社にとってどこに潜在リスクがあるかを把握して低コストですぐに実行できることから取り組むことが重要となる。そのリスクを顕在化する意味においても、数値化は有効な手段と言える。
比較対象が無いとセキュリティ対策の終わりが見えなくなる
どこまでやるのか?…ここが重要なポイントとなるが、前述の5点満点評価で対象が20項目だとすると、100点が満点となるため、現状が100点となればそこでやるべき対策は全て施されたと考えることができる。どこまでの答えがここで見えることなる。
良否や是非を判断する上で、何かと比べてそれよりも上か下かという視点がないと適切な判断はできないであろう。人は何かを決める時、ほとんどのケースで何かと比較して決断をしているはずだ。どっちが良いか?高いか、安いか?使えそうなものなのか?今、必要か?…等々…何か前提となるものや、指標となるものがあって、それと比較して有益なのか、不要なのかを判断しているはずである。
それを客観的に比較するために数値化が必要となるのだ。良い・悪いという判断は、一定の基準があったとしても主観的になる可能性が否定できない。これが、4点と可視化されたら満点ではないが良い状態であることは認識できる。セキュリティ対策の場合は担当者の主観(経験やスキル)に依存しがちで、優先度も注力する視点も違うことが多い。属人的な運用体制にならないためにも数値化することの意義は大きいのだ。
比較対象は自社のセキュリティポリシー
数値にして比較するとしても、その比較対象はどこから持ってきたらいいのか?それは、セキュリティポリシーである。このような運用・運営体制が望ましいということを規定したものが、セキュリティポリシーだからだ。例えば、その中に、「従業員が使用する各端末(PC)には、ウイルス対策ソフトを導入すること」と記載があれば、それが評価項目となり、前述のように5点満点で評価をしたらいい。
個人情報の管理の仕方、電子データの取り扱い、モバイルデバイス、インターネット経由での外部からのアクセス…等々…運用環境に応じて様々な規定が網羅されているはずである。それに応じて項目をピックアップすればよい。少し大変な作業となるかもしれないが、自社のセキュリティ対策はこのセキュリティポリシーが基準となっているため、この通りであれば「満点」であるとの認識で運営していかなければならない。
同業他社はどのような対策を講じているのか。など、他社との比較をしようとする傾向もあるのだが、社会的にという観点であれば、少なくともこれはやっておかなければならないと、参考にはなるが他社を真似たからといって、自社のセキュリティ対策が強化されるわけではない。
あくまでも自社で決めたポリシーに対しての実行具合をもって評価するべきことだ。
ログ管理がセキュリティ対策の実効性の指標
セキュリティポリシーが遵守されているかどうかを把握しなければ、適切な評価をすることはできない。中には目視やヒアリングなどで対応しきれない項目も存在するであろう。その時は、アクセスログなどを取得するなどの運用体制を構築する必要がある。
ログ管理ツールが運営をサポートする
アクセスログは、シンプルに捉えるとサーバやPCなどのデバイスのログと、通信ログがある。ファイアウォールなどで制御しているプロトコルが実際に遮断されているかどうかを確認するには、通信ログをみなければならない。このチェックがされていなければ、ポリシーに応じた運用になっているかどうか評価する術がないのだ。
サーバやPCも同様である。決められた権限以外のアカウントがアクセスすることを禁止している領域がフリーアクセス状態であったら、決めただけで対策は何も施されていない。このような状況を回避するためには、クライアント管理ツールなどのアクセスログ監視が有効である。セキュリティ対策を数値化するかどうに関わらず、企業においてITを利活用するにあたっては、クライアント管理ツールは必須であると筆者が考えている。これについては、別の記事でもその理由など解説しているので参考にしていただきたい。
ログの量からもセキュリティを数値で把握できる
通信ログを1つ1つ細かく見るというようなことはする必要はなく、その必要性が出てくることもないだろう。情報漏洩などが起こった時には、いつ?誰が?どのタイミグ?何を?など、状況の把握と原因究明のために必要となるが日常の監視・管理ではそこまでやる必要はない。
ただ、全体の通信量の履歴や状態などは把握しておくことは重要になる。だいたい、日常的に10万通信くらいが平均で幅があって、1万前後内に収まっているなど、平常時の状態を知っておかなければ不正を見逃すかもしれない。誤って、何か不正なサイトに誘導され気がつかずアクセスすると、そのサイトと大量の通信が発生しPCが乗っ取られたり、データが抜き取られるというようなことも起こり得るからだ。
ログ監視ツールは不正を自動検知する
セキュリティポリシーに則った運用状態であるかを常に調査し評価するということは現実的ではないし、できない。正常な状態ではないことが発生したら、それを検知して知らせてくれるのがログ管理ツールの利便性の一つである。ポリシー違反をリアルタイムで検知して是正する運用体制を構築してくれることになる。
「不正アクセスに対する運用」という項目があった場合、ログ管理ツール等がなければ満点の5点となることはない。ツールがなければ不正をリアルタイムに検出することができないからだ。これは、ログ管理ツールが必須であるということではなく、評価する上での考え方、選択肢の一つである。通信ログは、機器でログを取得し監視する機能が実装されているものもあるので、別にツールを導入せずに運用体制を構築することも可能だ。
ツールの導入も機能にフォーカスし、経験や技術的根拠だけで選定するのではなく、セキュリティポリシーに則った運営のために有効かどうかという視点を持つことが重要である。
まとめ
・数値によって比較することで適切な判断ができる
・比較対象とすべきは自社のセキュリティポリシー
・ログ管理によって目視できない領域を可視化
・ログによる不正の自動検知で運用をサポートしてくれる
セキュリティ対策をするために、セキュリティポリシーという基準が必須であり、これがなければどこまでやっていのか?の答えが見つかることはない。ただ、セキュリティポリシーも見直しが必要となる。ツールをアップデートしてメンテナンスするように、ポリシーもアップデートして現実に即したものとなっていなければ意味のない対策を施していることになる
本稿では、セキュリティ対策を数値化することの意義で、考え方や視点を中心に解説したが、別の記事でセキュリティ対策の数値化【2】として、筆者が実際にサービスとして構築したセキュリティを数値にしたものをサンプルとして開示しながら、解説させていただきます。
最後までお付き合いいただきありがとうございました。
また、お会いしましょ。
