Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

日本企業はマジノラインを構築しているのか

 4/20の産経ニュースに気になる調査データが出ていました。

www.sankei.com

セキュリティレスポンスを軽視する日本
日本企業では、情報セキュリティ部門の予算や人材などの85%(世界9カ国平均で79%)を、ファイアウォールやデータ漏えい防止ツールなどのデータの保護/検出機能に投資している一方で、セキュリティレスポンスには限られた予算や人材しか割いていないことが明らかになりました。このことは、他国と比べて日本企業が脅威発生前の対策に重点を置き、脅威が発生した後の対策には十分に手が回っていないことを示しています。

1. 不十分なパッチ管理が、情報漏えいの大きな原因となっている。
2. 手動プロセスやそれぞれが連携されていないシステム、情報セキュリティ人材の不足が、タイムリーなパッチ適用の障壁となっている。
3. 脆弱性対応のために、自動化やAIなどの最新テクノロジーを活用することが重要である。

(産経ニュース記事より引用)

 

◆キタきつねの所感

セキュリティ関係で様々な会社の方と会話をする事がありますが、比較的この調査データと同様な対応をされている企業が多い印象です。

 ・FWやSIEMの高い壷を買ったんだから、もう大丈夫。

 ・パッチ当てるのいいけど、万が一システムが止まったら情シス部門の責任ね。

 ・閉域網だから大丈夫

 コンサル費用なんて無料(激安)でないの?

※最後のは相手を殴り飛ばしたくなる科白ではありますが、実際何度も言われた記憶が・・・。単なる愚痴です。

 

多くの日本企業が対策している状況を、一言で言うならば『バランスが悪い』でしょうか。

日本の回答者の48%が過去2年間で情報漏えいを経験したと答えており、この割合は世界平均と同水準となっています。過去2年間で情報漏えいを経験したと答えた日本の回答者のうち、64%(世界9カ国平均で57%、日本はオランダについて2番目に高い割合)の回答者が、すでにパッチが提供されているにもかかわらず、ソフトウェアの脆弱性にそのパッチを適用しなかったことが、情報漏えいの原因であったと述べています。このことは、脆弱性へのタイムリーな対応が外部からの攻撃を防ぐ上で非常に重要であるということを示唆しています。

(産経ニュース記事より引用)

日本だけは被害に遭わない、というのは迷信であって、実際に被害に遭う企業は世界的な傾向と同様です。攻められるリスクで言えば、2年で48%が被害を受けたということは、4年に1回は全ての企業が情報漏えい事件を起こしてしまう事を示唆しています。

それが言われているにも関わらず、入り口(防御)対策しかしてないのは、第2次世界大戦のフランスの戦略を彷彿させます。非常に強固な防衛線を張ろうが、ナチスドイツが防衛の穴となっていたアンデンヌの森から戦車部隊を突入させて、マジノラインは無力化され、パリ無血入城までずるずるとフランス軍が崩壊していたったのですが、攻撃側は必ず穴を探してくるのであり、防衛側が絶対大丈夫!と思っている場所ではない所を狙ってくるのです。これは第5の戦場と言われるサイバー空間でも変わりありません。セキュリティ対策は防衛一本やりではなく、最近は「抑止」「予防」「検知」「回復」をバランス良く対策する事が有効と考えられています。

つまり「防ぎきれない」事を前提とした対策が重要という事です。パッチ当てがビジネス上の理由(往々にしてサービスを止めたく無いという経営側の意向である事が多いのですが)で難しいのであれば、サービスを止める経営インパクと、4年に1回は事故を起こすかもしれないリスクを経営側は考慮してポリシーを策定すべきだと思います。名ばかりCISO名ばかりCSIRTを作る事が目的となってしまっている感がある日本において、なかなか理想までは遠いのかも知れませんが、各組織は、セキュリティ投資を(バランス良く)しない事によるリスクはきちんと算出して(アセスメントして)おくべきだと思います。

 

マジノ線 - Wikipedia

 

参考:

diamond.jp

 

チーズのイラスト(薫製)

 

更新履歴

  • 2018年5月2日AM(予約投稿)