セキュリティインシデントは防ぎきれない――備えが肝心:Gartner Insights Pickup(11)
重大なセキュリティインシデントは、どの企業にとっても、“発生するかどうか”の問題ではなく、“いつ発生するか”の問題だ。
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。
2014年に発生したソニーピクチャーズエンタテインメント(SPE)に対するサイバー攻撃は、こうした攻撃に対する人々の認識を大きく変えた。執拗(しつよう)なビジネス妨害が行われた事例として有名なこの攻撃により、SPEは重大なシステム障害に見舞われた。
「多くのデジタル企業が同様な被害に遭いかねず、この事件を機に、この種の攻撃が警戒されるようになった。こうした大規模な攻撃が行われる頻度は低いが、この事件は執拗なサイバーセキュリティ攻撃がビジネス運営に深刻な打撃を与え得ることを示した」と、ガートナーのリサーチディレクターを務めるロブ・マクミラン氏は語る。
こうした標的型攻撃は、広範な損害を与えることを明確な目的として、デジタルビジネスの業務の根幹を直撃する。攻撃者によってサーバが全面的な停止に追い込まれたり、データが消去されたり、デジタル知的財産がインターネットで公開されたりする恐れがある。
「企業はその時に備えなければならない。多くの企業では、侵入されることを避けられない。侵入を防ぐセキュリティ対策はいずれは失敗に終わるからだ。企業が向き合わなければならない問題はセキュリティインシデントが発生するかどうかではなく、インシデントをどれだけ早く検知し、解決できるかだ」(マクミラン氏)
こうしたデジタルエコノミーの現実から、効果的なインシデントレスポンス(インシデントのリスク抑制と発生時の被害軽減)が、セキュリティやリスク管理の担当者にとって最優先課題の1つとなっている。
備えが必要な理由
一部の業種の企業にとって、インシデントレスポンスは規制対象の要件だ。だが、どの企業でも、いったんシステムやネットワークに侵入されてしまうと、その被害額や回復費用はインシデントレスポンスの準備コストを上回ることがある。侵入されたせいで悪い評判が流れたり、身代金や罰金の支払いが発生したり、訴訟に直面したりする可能性があり、システム障害に対処するための運用費用も増えることが多い。
ガートナーは2020年までに、企業の情報セキュリティ予算の60%が、インシデントの迅速な検知と対応の取り組みに配分されるようになると予想している。この割合は、2014年には10%未満にとどまっていた。
「企業を侵入から保護することも重要かもしれないが、効果的なインシデントレスポンスを実現すれば、企業はビジネスを妨害されても、目標を追求し続けることができる」(マクミラン氏)
インシデントレスポンスの取り組みが成熟すれば、副産物として回復力も得られる。インシデントレスポンスは、セキュリティリーダーが定義、開発、実装し、優先的に取り組むべきコアプロセスの1つだ。その目的は、企業を保護し、セキュリティの価値をビジネス部門に示すことにある。
セキュリティリーダーはこのコアプロセスに取り組むに当たって、以下の3つの不可欠なステップを考えなければならない。
1. インシデントレスポンスプロセスを開発する
効果的なインシデントレスポンスを行うには、準備を進めておくことが重要だ。ただし、それは極めて難しいことでもある。複雑な分散型の企業では特にそうだ。適切な準備ができれば、以下のことが可能になる。
- 最も重要な資産が何かを把握している
- 発生した、または発生中のインシデントを検知できる
- インシデントを解決し、その結果を管理する手続きが用意されている
- 関係者がインシデントレスポンスにおける自らの役割を理解している
2. 組織としての対応を導く
インシデントの原因だけでなく、影響全体を管理する準備を整えなければならない。侵害範囲や侵入範囲は企業全体となり、パートナー、経営幹部、リモートオフィスのビジネス部門、顧客が全て影響を受ける。
情報流出に突然見舞われたら、ITに関連する影響だけでなく全社的な影響に効果的に対処する力が必要になる。セキュリティインシデントへの企業としての対応をリードするために、適切な専門知識とノウハウに磨きをかけなければならない。
3. オペレーションの一環としてレスポンスを進める
セキュリティオペレーションが進化しており、「現在のAdvanced Persistent Threat(APT)攻撃を考えると、従来の境界保護アプローチや侵入防止機能への投資だけでは足りない」という認識が高まっている。
従来の防止技術の不備に対する反省から、企業では次の2つの重要な変化が生じている。
- 企業はセキュリティアーキテクチャを一新し、検知やレスポンス機能、そして最終的には、予測機能を向上させようとしている
- 企業は、“インシデント”はある特定の時点における問題ではなく、IT部門が向き合い続けなければならない問題だと認識するようになっている
出典:Prepare for the Inevitable Security Incident(Smarter with Gartner)
筆者 Susan Moore
Director, Public Relations
Copyright © ITmedia, Inc. All Rights Reserved.