セキュリティ対策のアプローチ|セキュリティ|ブログ|Computerworld

読者の皆様、お待たせしました。
日本に帰ってきてからも時差ボケがなかなか治らない蔵本です。
本日の一枚は、シアトル名物クラムチャウダーです。

今回は、セキュリティ対策を考える際のアプローチについてお話します。

アプローチに関しては、以前掲載した、【セキュリティ対策の「網羅性」 様々な基準】で非形式アプローチ等に関して簡単に触れましたが、今回は、各アプローチの特徴と違いをご紹介していきます。

今回ご紹介するアプローチは、ISO TR 13335 The Guidelines for the Management of IT Security (GMITS) 内でも定義されているアプローチです。 セキュリティ対策を考える際に使用されるアプローチは主に３種類に分かれます。

【ベースラインアプローチ】
管理基準等のガイドラインを参考に対策を実施します。十分な資産棚卸の必要がなく、プロジェクト開始からリスク低減策が効果を発揮するまでの工数が少なくて済むのが特徴ですが、事業特性等によって生じる、企業独自の対策項目等までカバーする事は難しくなります。経済産業省発行のセキュリティ管理基準や ISO TR 13335 を参照したセュリティ対策アプローチが該当します。企業環境でのセキュリティ対策考える場合、時間的な余裕はありませんので、まずはベースラインアプローチによるセキュリティ対策実装が常套手段と言えます。

【詳細リスク分析】
十分に棚卸された資産に対してリスクアセスメントを行い、対策優先度の高い順に有効なリスク低減策を考えていきます。プロジェクト開始からリスク低減策が効果を発揮するまでの工数が多くかかりますが、ベースラインアプローチでカバーできない部分の対策やベースラインアプローチでは足りない、より高度なセキュリティ対策が求められる部分を強化する事ができます。

【非形式アプローチ】
セキュリティ管理者の過去の経験や知識を基に対策を実施します。本アプローチによるセキュリティ対策は、非常に属人的な運用となってしまうため、企業におけるセキュリティ対策で本アプローチを採用する事は非常に難しいといえます。また、網羅性、セキュリティ対策の深さ共に足りない状態となってしまう事も考えられますが、非常に高度な知識や経験を持つ管理者である場合、以下の組み合わせアプローチの一項目として組み込む事で効果を発揮する場合もあります。米国国立標準技術研究所 (NIST:National Institute of Standards and Technology)発行のNIST SP 800-61 「コンピュータセキュリティ・インシデント対応ガイド」にも「経験を優先する」とあるように非形式アプローチといえども、実践する人間によってはバカにできない事もあると言うことです。

【組み合わせアプローチ】
ベースラインアプローチと詳細リスク分析を組み合わせて対策を実装します。企業環境ではこの方法が一般的に多く採られます。ベースラインアプローチで取り急ぎ対策を実施し、企業独自の対策項目等に関しては、詳細リスク分析で対策を実施していきます。更に、非常に高度な知識や経験を持つ管理者がいれば鬼に金棒となります。

以下は監査時によくある一幕

監査側 筆者
「セキュリティ対策のアプローチとして、何か活用された手法はありますか？」

被監査側 リーダー 福原さん
「うちはいわゆる組み合わせアプローチっちゅう奴をやりましたわ！」

被監査側 サブリーダー 青木さん
「こんなん知ってるやつが適当にやったらええんやって言うてたじゃないですかー！」

企業環境では、「構築した人が退社した後に誰も怖くて触れなくなった」セキュリティシステムがよくありますが、非形式アプローチの産物である事が多いため、さすがに組み合わせアプローチの9割以上が非形式アプローチというのは避けた方が無難かと思われます。

今回は、出張先の大阪からお届けしました。

※登場人物は全て架空の人物です。