【解説】
企業を危うくするセキュリティ［NG］集

ささいなミスも命取りに――10の「やってはいけないこと」

（2008年06月11日）

NG6：“特効薬”は真の脅威を隠し、企業はそれに気づかない

　特定のセキュリティ技術を採用したり、法規制に適合したりさえすれば、それで問題は解決したと安心する企業は少なくない。しかし、そうした技術や法律は、必ずしもセキュリティ対策の“特効薬”にはなりえない。むしろ、真の脅威を見えなくする逆の効果をもたらすことさえある。

　ウイルス対策ソフトやセキュリティ・パッチの適用、脆弱性スキャンの実行などのシンプルな対処療法がコンプライアンスになると考えている企業は多い。だが、それは「リスク・マネジメントの視点からアプローチするのではなく、箱の中を見回してチェックしているだけにすぎない」と、米国Security Inciteのアナリスト、マイク・ロスマン（Mike Rothman）氏は警鐘を鳴らす。

　企業はしばしば、限定的なセキュリティ・フィクスを監査し、これ以上の対応は不要との評価を示して、いわゆる“愚者の楽園”を作り上げる。「肯定的なセキュリティ監査結果が出れば、企業はそれで可とする。そして不正侵入者は、それが間違っていることを証明する」（Rothman氏）というわけだ。

NG7：どのITシステムにも同レベルのセキュリティ・リソースを投入する

　Rothman氏によると、セキュリティ上の重要度に差があるにもかかわらず、どのITシステムにも一様のレベルでセキュリティ・リソースやコストを投じる企業が多いという。「エンドユーザーが5人しかいない古いアプリケーションと、数百人の顧客が利用するオンライン・アプリケーションに対し、まったく同量の時間とコストをかけることは無駄が多い。なのに、すべて同等に扱おうとするケースがしばしば見受けられる」とRothman氏は嘆く。

　こうしたアプローチは、予算が枯渇したときに、重要な問題を先送りしてしまう、あるいはまったく無視してしまうことにも結び付く。セキュリティ担当者は、優先順位を付けることも重要な仕事だと認識するべきである。

NG8：情報漏洩がいずれ起きるとわかっていても、対策は後手

　情報漏洩を望む者はいない。だが、漏洩させる人間がいずれ現れるという前提の下で、企業は対策を講じなければならない。

　きちんとした対策は漏洩による被害を最小化する。しかし、ほとんどの企業は対策が遅すぎたり、後手に回ったりしていると、データ漏洩対策サービス／関連ツールの専門ベンダー、米国Mandiantでチーフ・エグゼクティブを務めるケビン・マンディア（Kevin Mandia）氏は指摘する。

　いつ、だれがデータにアクセスしたかということから、どのシステムがデータを利用したかという点まで、企業はアクセス・ログをすべて記録しておくべきだ。しかし、それを実践しているところは少ないと、Mandia氏は見ている。

　またMandia氏は、漏洩事故の詳細がドキュメント化されているケースも少ないと嘆く。「ほとんどのケースで、テラバイト級の膨大な資料を渡されることはあっても、事故の内容を事細かに記したドキュメンテーションを提示されることはない。技術者たちは肩をすくめ、弁護士たちも命じていないのだ。何が起きたのか担当者たちに聞いても、虫のざわめきのような回答しか返ってこない。これでは、対策のプランを練ることなど不可能だ」（Mandia氏）