ネットワークとデータセキュリティによる総合的なセキュリティ戦略

2011/08/30

近年、サイバー攻撃の本質は明らかな変化を遂げています。McAfee Labsでは、これまでネットワークへの攻撃を防ぐため、様々なセキュリティチームを編成してきました。しかし、内外の攻撃者は焦点を移し、データそのものを狙うよう変化しています。その理由は、データそのものにこそ価値があるからです。ルーター、オペレーティングシステム、ファイアウォール、IPSなどのコントロールは、最終目標を達成するために克服すべき障害に過ぎません。データは、経済的・政治的利益のために活用できるのです。

ネットワークインフラが重要ではなかった時代はもはや過去の話で、その重要性は日々増しています。その一方で、データを狙った攻撃に対してネットワークコントロールで対処するのは、現実的に難しい状況です。企業全体で使われているアプリケーションの数、アプリケーションが処理するデータの機密性について考えてみてください。多くの市販ビジネスアプリケーションと専用アプリケーションが、ビジネス機能の中心で動作しています。これらのアプリケーションは定期的に変化しているのに対し、セキュリティのアップデートは月に1回、もしくは四半期に1回程度しか行われていない可能性があります。このような状態では、データを保護するために使われているコントロールがほぼ皆無か、たとえ存在してもデータ保護がサイロで行われているため、データコントロールやネットワークの可視性が強化されていません。その結果、サイバー犯罪者はシステムを悪用し、機密データを簡単に入手することができます。

サイバー犯罪のコミュニティは成熟してきています。彼らは経験を積み、信頼できる仲間と専門スキルがあります。カード詐欺師、エクスプロイト作成者、スパム業者からボット使い、マネーロンダラー、文書偽造者まで役割分担することで、各専門分野でのROIが最大限に高まり、犯罪規模の拡大と収益性アップを実現しているのです。データを攻撃してくる相手はプロであり、その多くはデータを守る側と同じ、あるいはそれ以上の経験を積んでいます。

2つの異なるチームがセキュリティ問題に対処しようとしていることも、事態を複雑にしているもう一つの要因です。これまでのセキュリティチームは、データベース管理者やアプリケーション開発者ではなく、システム管理者やネットワーク管理者の経験を持つ人たちで編成されるのが一般的でした。同時に、データベース管理者や開発者には、セキュリティに関する経験はありません。そのため、組織の防護に関して埋めるべき大きなギャップが存在することになります。

ネットワーク、データセキュリティごとに戦略を策定している場合、どのように組織を防護するというのでしょうか。このようなアプローチでは、テクノロジーがバラバラではなっていることでしょう。いくら有用であっても、両者のコミュニケーションがとれなければ役に立ちません。いくつかのプロセスが重複し、全体的な改善は困難です。組織を適切に防護するために必要な根本的作業を行うには、より多くの時間と費用がかかります。この余分な時間、余分なリソース、一層の複雑さが、攻撃者に有利に働きます。

現在、我々に必要なセキュリティ戦略は、総合的な戦略です。ネットワークおよびデータセキュリティの両チームが、ユーザーがどのようにデータを取り扱っているか、どのアセット(アプリケーション、データベースなど)の防護が必要か、これらのアセットへのアクセスを管理するためにどのようなプロセスとテクノロジーが配備されているかを把握する必要があります。両チームは、対処すべき攻撃と攻撃者のタイプを理解し、テクノロジーとプロセスが対策とどう反応するかを理解する必要があります。

さらに、ネットワーク、データセキュリティのテクノロジーは非常に複雑なため、治療により病気がさらに悪化することもあります。リスクについての見方を統一し、統合的な対策を実現するため、同じリソースからツールとチームを招集し、連係して対処する必要があります。これにより、成熟したセキュリティ体制を実現し、味方を有利な立場にすることができます。

最終的に、企業のブランド、従業員および顧客のデータ、IP、さらには競争上の優位性を守る責任を負うのは、各従業員です。ネットワーク、データの壁を越える、安定した統合的なセキュリティプログラムがあれば、システム全体の機密性、完全性を高めることができ、結果として、ビジネスの最適化を実現できることでしょう。