経営層、管理層がセキュリティ人材に装備を与え、経験値をためさせるためにすべきこと:RPGに学ぶセキュリティ〜第1章 レベルアップ編〜(2/2 ページ)
40〜50代の経営者や管理職に向けて、RPGを題材にセキュリティについて理解を深めてもらう連載。初回は「レベルアップ」編として、セキュリティ人材が装備を整える難しさ、そして人材育成の難しさについて、RPGスタート時の主人公の育成に例えてお話しする。
セキュリティ人材が装備を整える難しさ
一方、セキュリティ人材が強いモンスター(攻撃者)に負けないためには、経験値をためる前に一定の装備が必要だ。防具を装備してない状態では最弱クラスのモンスターにさえも負けてしまうので、ある程度強い防具(セキュリティ対策製品)を入手する必要がある。
強い防具を入手するための「予算取り」イベントでは、身内すらモンスターになる
しかし、企業や組織における事業活動には、「セキュリティ対策よりも重要」と判断される案件はたくさんあるのだ。その結果、セキュリティ対策のための装備は「会社の業績が順調」であるときや「景気の良い時期」にしか導入できないことも現実問題として多い。そのため、「大きなセキュリティ事件があった後の好景気の時期」がセキュリティ対策市場を大きく成長する時期となることも少なくない。
また、入手のためには、お金(予算)を得るための稟議書作成とワークフローの決裁など、非常に困難な「予算取り」という名の重要イベントをクリアしなくてはならない。
ほとんどの場合、このイベントへの挑戦は年に1回か半年に1回しかできない。緊急稟議などもできないわけではないが、例えば何らかの事件や事故が、大きなニュースとして報道されたり、社会現象になったりしない限りは、「今そこに危機がある」ことを明示するのは非常に難しい。その結果「話は理解したが、次回の予算審議で検討しよう」となる。
また、1年か半年に一度の予算取りの時期は、言うならば「各部門が予算を取り合うバトルロイヤル」である。各部門にいるモンスターのようなベテラン社員や中ボスのような部門長などとのバトルに勝利しなくてはならない。
実は「セキュリティ人材が戦わなくてはならない最初のモンスターは身内である」ことが残念ながら多いのだ。
手に入れた防具が有効かどうかすら分からない
そして、その苦労の結果として得られる装備も、それが戦う相手のレベルに十分に合うものかどうかは時の運だ。そもそも、その装備はどんな敵に有効なものなのだろうか。装備が有効な敵がいるのは「スタート地点の町や村の付近なのか」「ある程度強い敵がいるフィールドなのか」「ラスボスがもうすぐ出てくるレベルのフィールドなのか」については、サイバー空間だと区別がつかない。
いや、そもそも世界中の全てがつながっているのがインターネットだ。そのフィールドがどこであっても攻撃者は、ダメージを受けないレベルのザコモンスターからラスボス級まで何が襲ってくるかは分からない。つまり、現実のサイバー空間には「自分のレベルに合わない強いモンスターが入ってこない仕組み」などないのだ。
攻撃者にとって、襲う対象がレベル1なのかレベル30なのか、装備が貧弱なのかどうかは、攻撃者にとっては一切関係ない。サイバー空間には、強い攻撃(敵)が段階的に襲ってくるような親切な仕組みはない。セキュリティ人材を育成するのにちょうどいい経験値を得られるように攻撃してくれる親切な攻撃者などいないのだ。
そのため、せっかく装備が強くなったとしても、さまざまな強さのモンスターが混在する中で、「本当にその装備で対応できるかどうか」は、現実問題として分からない。
限られた装備で、時にはドラゴンやラスボスのような強さの攻撃者から、その企業や組織を守らなければならない
このような厳しい環境の中で、サイバー攻撃に対する主人公であるセキュリティ人材は、限られたリソースからできるだけ有効に使える装備をそろえ、時にはドラゴンやラスボスのような強さの攻撃者から、その企業や組織を守らなければならないのだ。
セキュリティ人材が経験値をためる難しさ
装備をそろえるよりもさらに難しいのが、セキュリティ人材が成長するために経験値をためることだ。
経験値をためられる都合の良い環境がない
先述のように、インターネットはRPGのように、スタート当初の弱い主人公(セキュリティ人材)を強いモンスター(攻撃者)に遭遇させないような都合の良い仕組みはない。
むしろ、サイバー攻撃は世界レベルの大きなビジネスとなってしまっている。脆弱(ぜいじゃく)であることが、攻撃対象とされる理由になってしまうことすらある。攻撃者は、機密情報などを取得せずとも、ランサムウェアや仮想通貨のマイニングを行うプログラムをPCにインストールさせるだけで利益を得てしまう。攻撃側の効率化や環境整備によって、既にこの世界では「脆弱なPCやサーバを見つけ、侵入しマルウェアを仕掛けるだけで対価を得られる」「攻撃者が楽をしながらもうかる」ビジネスモデルが成立してしまったのである。
実戦的なセキュリティ研修を受けられる企業は、ほとんどない
このような状況を避けるためには、セキュリティ人材がシステムプラットフォーム全般の知識をある程度得た上で、できるだけ実戦的なセキュリティ研修などを受講することが有効だ。
しかし、それには多くの時間やコストがかかる。よほど潤沢な経営リソースを持った企業や組織でなければ、十分なスキルを持ったセキュリティ人材を自社内に育成することは難しいだろう。仮に、高度なスキルを身に付けたとしても、「セキュリティ人材の活動は利益を生む」ことを証明するのは難しい。
しかも、スキルを維持するためにも継続的な情報収集などが必要であり、セキュリティ専任になる必要があるだろう。このような人材を質、量共に十分に持つことは、一般企業としてなかなかできることではない。
サイバー空間は、むしろ攻撃者がレベルアップするために最適な場所
さらに、RPGのフィールドのように、経験値を積むために都合の良い環境はむしろ攻撃者側にある。なぜなら、インターネット上には攻撃対象になるシステムがたくさんあるからだ。攻撃者は、その中から、自分のスキルで侵入できるシステムを見つけ、攻撃することで経験値と対価が得られるのだ。これはまさに、RPGの主人公が強くなるためのステップと一致する。
これこそが、サイバー攻撃がどんどん巧妙化し、より被害が深刻化し続けている大きな要因なのだ。
このように、サイバー空間は攻撃者にとって経験値を得てレベルアップするために最適な場所となっている。それに対して、セキュリティ人材と呼ばれる防御側は、攻撃者がレベルアップをするために利用されるモンスターの位置付けにされてしまう。非常に不条理ながら、RPGとサイバー攻撃では、完全に立場が逆転しているのが現実なのだ。
セキュリティはサイバー攻撃技術の理解なしには進歩しない
一方で、セキュリティはサイバー攻撃技術の理解なしには進歩しない。攻撃者の視点をもって対策を講じることが有効になるのだ。
これは、インターネットを介してPCに侵入できるような、つまりハッキングする技術を持つ人は「ハッカー」と呼ばれるが、悪意、害意を持ってハッキングするか、善良な目的を持ってハッキングするかによって、「ブラックハッカー(クラッカー)」「ホワイトハッカー」と分けて呼ばれることにも表れている。
力のある「ブラックハッカー」(攻撃者)がホワイトハッカー(セキュリティ人材)にもなり得るし、逆にラスボスを倒せるほどの力を身に付けた主人公(ホワイトハッカー)が次のラスボス(ブラックハッカー)になってしまうことも十分にあり得る。なぜなら、RPGでは、主人公がラスボスを倒した瞬間に主人公ではなくなるからだ。それは、第5章で詳説するが、「ラスボスがいなくなると主人公の存在意義が消えてなくなる」と言い換えることもできる。
このように、RPGにおける主人公とラスボスの関係はセキュリティ人材と攻撃者の関係とよく似ているのだ。
経営者、管理職は主人公をどう育てればいいのか
では、経営者、管理職はどうすればいいのだろうか。答えはやはりRPGにある。
まずは、セキュリティ人材に、攻撃者から企業を防御するための装備を整えさせることだ。そのためには、自社の守るべきものを棚卸しし、その中の重要な資産を守るための方法や、資産を失った場合のリスクを洗い出す必要がある。その洗い出したリスクをそのまま保有したままにするのか、回避するのか、保険などで移転するのかを決め、リスク低減策としてセキュリティ対策製品やサービスを導入するのだ。
ただし、現在のセキュリティ対策は以前のように壁の役割を果たすものではなく、センサー機能を持ち検知するものとなっている。一定以上の経験値を持ったセキュリティ人材が、そのセンサーから送られるアラートなどを何らかのインシデントと判断した場合に、適切なインシデントレスポンスを行う必要がある。
そして、セキュリティ人材に適切なインシデントレスポンスを実行させるには、経験値が必要である。繰り返すが、RPGではフィールドを歩くだけで経験値を得られるが、現実はそれほど親切ではないので、まずは、前述のようにセキュリティ研修を受けさせることが必要である。
さらに、セキュリティに必要なスキルを全て一人に持たせることは難しいので、CSIRT(Computer Security Incident Response Team)のような組織が必要だ。このCISRTの組織が動きだせば、これを核に、他の同業者との情報交換や「SOC(Security Operation Center)」と呼ばれる外部ベンダーのサービスも受けやすくなる。この組織は分業化されており、戦士、僧侶、魔法使いなどで構成されるRPGのパーティのようなものになるだろう。
この組織が機能することで、企業のセキュリティ対策はより堅牢になる。経営者や管理者は、このパーティが機能できるようなセキュリティ人材という主人公たちをバランス良く「レベルアップ」させることができなければ、現在のサイバー攻撃が吹き荒れる環境下では生き残っていけないといっていいだろう。
次回は、「自分の城にあった伝説の剣で倒されたラスボス」編
次回は、「自分の城にあった伝説の剣で倒されたラスボス」編として、情報の整理と棚卸しの重要性についてお話しするので、お楽しみに。
Copyright © ITmedia, Inc. All Rights Reserved.