中小企業だからといって何もセキュリティ対策を施していないということはない。ただ…残念なことに導入そのものがゴールになっておりメンテナンスをしないなど適切な運用に至っておらず、ただ存在するだけのモノになっている。この状態では「うちは***を入れているから大丈夫です。」とは言い切れないのだ。導入後の機器やソフトウェアをオペレーションする要員が不在で、兼務状態になっているIT担当者にはそのような時間もない。では、どうしたらいいのか…放置されがちな理由とリソース不足でも対処するためにどうしたら良いか?現実的に可能で実効性のある対策とは何かを解説する。
セキュリティ製品の導入はゴールなのか?
セキュリティ製品を導入した時点で、ある意味「対策ができた」と感じることは自然なことだろう。 実際に製品を導入することで、ウイルスや不正アクセスといったサイバー攻撃に対する防御壁ができた状態になるからだ。しかし、この認識は大きな間違いだ。現実的には、セキュリティ対策の「出発地点」であり、導入時はとりあえず安心しただけであり、本当の意味で企業を守るためには、ここからが非常に重要なステップとなる。
製品導入がゴールと認識してしまう理由
現実的にはゴールではないのだが、なぜゴールと認識してしまうのだろうか?それにはいくつかの理由が考えられる。
目に見える“成果”がある
製品を導入しなければ、何も存在しない。しかし、機器の導入はそのものが目の前に存在するし、ソフトウェアをインストールすることで、今までとは違う”変化”を実感することができる。これが「対策は完了した」との認識を与えることになるのだ。
コストを労力を費やした満足感
ITのことに詳しく無い経営者やIT担当者がベンダーとの打ち合わせで、効果的であるという製品を選定し導入を決定する。これに費やした時間とコストが「自分たちはやるべきことをやったんだ」という満足感を得てしまう。セキュリティ対策に関わる業務は非日常的なものでもあることから、一層努力をしたという自己評価も重なってしまうのではないかと考えられる。
その他の理由
その他の理由として、製品の機能が守ってくれるという、どこかに万能感があるかのような期待を持ってしまうこともあるだろう。実際にサイバー攻撃を受けたこともなければ実感することはないし、攻撃自体が目に見えるものではない。今まで何も無かったのだから、製品を入れたこともあり、もし何かあっても守られるだろうとの認識を持ってしまう。
ただ…この認識は心情的には理解はできるのだが、現実とは乖離した認識と言わざるを得ないのだ。
では、なぜこのような認識を持つに至るのか、もう少し深掘りして考えてみる
ITベンダーという専門家からの提案を聞き入れる
「これを入れておけば大丈夫」
中小企業は、セキュリティ対策に費やす予算とリソースが限られている。そのためITベンダーは“オールインワン”的なツールを勧める傾向にある。中小企業の事情を考慮した提案。という見方もできないことはないのだが、「これを入れておけば大丈夫」は営業トークだとしても、誇大な表現であり誤解を招くことにもなる。何を持って大丈夫と言ってるのか、具体的な根拠も示さずに「よく売れている」「中小規模の事業者さんは、これがいいと思いますよ」などが提案の根拠になっていることがあるのだ。
これはIT・セキュリティ対策の専門家という見地からの意見ではなく、営業マンとして成果を求める者の見地であると認識するべきだ。
必要なメンテナンスの説明がない
「これを入れておけば大丈夫」…確かに不正アクセスなどの防御壁にはなる。そういう意味では、大丈夫である。が、ツールは自らの判断で稼働しメンテナンスをすることはない。適切な設定や、アップデートなどメンテナンスは欠かせない。導入時はITベンダーが設定をしてくれるであろうが、あらゆるデータが素通りするような設定になっており、まったく防御壁として機能しておらず気がつかないまま数年も運用していた。ということも珍しくないのだ。
導入して稼働させておけば、大丈夫であるかのような認識を持ってしまうのは、メンテナンスについての説明を受けていないことが多い。(ITベンダーは保守サポートとして、メーカーと自社が提供するものは説明するが、それを顧客側でどのように扱って、どういうオペレーションが必要になるかの具体論にまで言及しない。それは、導入後に手間がかかるとの印象をもたれることを回避するためであろうと考えられる。)
運用体制は未確認だが「簡単です」と導入を促す
「これができます。」「こんな攻撃にも対処できます。」….等々…できることやサイバー攻撃に対する効果を説明されるのだが、それを実行・実現するために必要となるITスキルや操作については、ほとんど説明されることはない。不正アクセスらしき現象が発生し、通知がきてもその内容を見て何がどうなっているのか判断するためのITスキルがなければ、どう対処すべきか迷ってしまう。
アップデートについても、自社環境に与える影響度などを判断するためのITスキルが必要になる。メーカーから説明されている内容にはIT用語が多く、それを理解しないと、言葉の意味を調べることから始めないと全貌を理解するには至らない。時間がかかってしまい、なかなか理解できなければ、後回しにしてしまうことにもなり、結果として旧バージョンのままで運用するということになってしまう。
こうなると…過去に話題となった「VPNの脆弱性を狙ったサイバー攻撃」の被害に逢うということになるかもしれないのだ。
放置されがちなセキュリティ製品
それでは、どういうセキュリティ製品が放置されることになるのだろうか。アンケート調査など詳細なデータは持ち合わせていないのだが、私の経験からくる感覚値となるが、代表的な製品について説明する。
放置率No.1はUTM
UTM(Unified Threat Management)は、比較的安価であり機能も豊富であるため、中小企業で導入されているのを多く目にすることがある。国内で最も売れている(導入されている)と言われている製品は、フォーティネット社の「FortiGate」シリーズであり、実際に導入されていることが多い。
ただ、「どうやって運用してますか?」と尋ねると、「運用?…えっ?…どういうことですか?」と、逆に質問される。
つまり、入れっ放しになっているのである。ここで言う運用とは、アップデートをしっかりやっていますか?とか、最新バージョンを認識していますか?など、どういうメンテナンスをしているかを聞いているのですが、ほとんどの企業で「何もやっていませんけど…」との回答になるのだ。
FortiGateは比較的アップデートが多く、年間で10回〜12回程度である。感覚的には毎月アップデートされていることになる。「自動アップデートされるって聞いているんですけど…」と認識している中小企業のIT担当者がいるのですが、確かに自動アップデート機能は実装されているが全ての機能に対して有効ではなく、制限があるため、自社で使っている機能が適用範囲かどうかは確認する必要があるだろう。
また、環境によってはバージョンアップによって設定が変更されることにより、一時的に通信が遮断されることもあり得るのだ。バージョンアップの内容によっては事前の検証などしておかなければ業務への影響という懸念は払拭できないのだ。
放置 No.2はクライアント管理ツール
UTMの次はクライアント管理ツールだ。TVCMでもお馴染みの「SKYSEA Client View」が代表的な製品である。IT資産管理ツールとの認識で導入されることもある。情報漏洩対策ツールとして中小企業でも導入されていることが多い。UTMほどアップデートは多くはないので、それほど手間がかかるものではないのだが…導入当初は、操作ログが見られる、インベントリ情報を収集するなど、今まで見えなかったものが可視化されるという“面白さ”もあって使われるのだが、そのうち操作する頻度も少なくなる。
そして、導入当初設定したアラートなどが多発し画面上に赤い表示があっても、早急に対処することでもない…との、認識で放置されてしまうのだ。クライアント管理ツールのアラートは、UTMとは違い不正アクセスが疑われるなど緊急性が高いものではないものが多く、社内で規定したルール違反などを通知するものが多いので、緊急性は低いものとして認識される傾向がある。
放置される理由
放置されてしまう理由は、まぁ…シンプルなことが多い。
だいたいこの3つに集約されるようだ。セキュリティツールの操作で業務の生産性が向上することはない。今すぐにやるべきことでもない…等々…やらなくても良い理由の方が正当性があり放置してしまう。現実的に放置しても特に困ることはないのだ。たまに、気が向いた時に画面など見ても、変化とか推移という視点で捉えることができないため、現在の現象として把握できるが、それが何を意味してるかまで把握するには至らない。つまり、「見てもようわからん」ということになるのだ。
放置しててもアラートなど通知をしてくれる機能があるから…という認識の方もいるようだが、実際にアラートメールが来てそれを見ても意味がわからないということがあるのだ。メーカーのサポート窓口に「こういうアラートが出てますがどういう意味ですか?」と、聞くと、「それは大丈夫です。危険度が低いものです」などの説明を受け、あまり理解ができないままに受け入れてしまう。その後、アラート発生の都度、問い合わせをする時間もないため結果的に放置されることになる。さらに…またメール来てるな…というのは認識するが放置というより無視の状態…「狼少年」のような扱いになってしまう。
要は、ある程度のITスキル(専門的な知識)がないとセキュリティツールが教えてくれることを理解できないため機能的な運用ができないということなのだ。UTMやクライアント管理ツールは、高度なセキュリティ対策ツールという位置付けではないが、高機能であればあるほど知識は必要となってくるのがセキュリティ対策ツールなのだ。
適切なセキュリティ製品の運用
せっかく導入したのに放置されているのでは、あまりにもったいない。適切なセキュリティ製品の運用とはどうするべきなのだろうか。
定期的なモニタリング…現実的には難しい
一般論として、製品導入はゴールではなくそこがスタート地点だと認識をして、定期的なモニタリングは欠かせない…などと、言われるのだが、確かにそうだろう。これはまったく正論であり否定はしない。が、実際に定期的にモニタリングなどできるだろうか?前述の通りだが、中小企業のIT担当者(ほとんどが兼務)には、それをやっている時間がないのだ。時間がなくてもやる必要があるから、やりなさい!と、言っても言うだけなら簡単だが現実を無視した助言になってしまう。
兼務ではないIT担当者を採用して運用体制を整えるという考えもあるが、これもまた現実的ではない。
製品の導入は自社で保有することを意味するので、メンテナンスを含む運用は自社でやらなければならない。リソースが限られることが事前に分かっているのであれば、製品を導入するのではなくサービスを受けるということで検討した方が、本来求める機能が発揮される環境を構築できることになるだろう。
専門家に運用を業務委託する
導入してしまってから運用ができないとなったら、それは“専門家”にその業務を委託することをお勧めする。自社でIT専任者を抱えることは中小企業では、ほとんど不可能であると考えた方がいい。前述の参考記事の通りだ。IT知識と経験を有する専門家の知見から、環境にマッチするよう設定をチューニングしてもらい、自社の状況については、その専門家に聞けば把握できるという体制を構築した方がいい。コストはかかるが、導入時にかかったコストがゼロの価値になることを考えたら有益であろう。コストメリットの有無ではなく、効果的なセキュリティ対策が施されているかどうかが判断基準となるからだ。
まとめ
製品の導入ではなく問題の解決手段を採用する
中小企業は製品を運用する体制が脆弱なことが多いので、製品の導入によって問題を解決するという概念ではなく、今の状況(問題)をどうしたいのか。という観点で解決手段を選定するようにするべきだ。例えば、人の移動、モノを運ぶ…だったら、車が必要だよね!と、考えてどんな車がいいかなぁ…と、検討するのではなく、人の移動とは何を、どうすることなのか…
・1日に何人?
・どこからどこまで?
・月にどのくらいの頻度?
・荷物は多い?大きい?重たい? …等々…
何を成し遂げたいのかを細分化して考えて解決手段を選定する。自家用車を所有しなくても、タクシーを使った方が結果として低コストになる。ということも考えられる。タクシーは一見、贅沢なようだが乗車運賃のみ支払うだけで済む。駐車場、ガソリン代、車検、保険、整備…等々…コストが発生するのだ。セキュリティ製品も同様に保有してしまうことによって発生するコストがある。自社にとって、どちらが有益かをよく検討する必要がある。
「簡単」なものはない。専門的な知識・知見は必須である
セキュリティ対策ツールで「簡単」なものはない。どのようなツールでもしっかりと運用して機能させようと思えば、専門的な知識は必要となる。専門的な知識の中には最新の情報も含まれる。セキュリティ関連情報を日々チェックするようなことは、中小企業のIT担当者にとっては負担でしかないはずである。結論として、なるべく自社保有の製品を運用するという考えではなく、専門家に任せる方向性にするのが現実的な答えになるのではないか。
最後までお付き合いいただきありがとうございます。
また、お会いしましょ。
