今だから再認識したいセキュリティの原則 セキュリティ対策の全体像を捉える ― セキュリティの次元
セキュリティ対策を原則に立ち返って考えることで、その効果の最大化とコストの最適化が可能となります。今回は「セキュリティの次元」をテーマとし、個別のフレームワークや技術を離れて、セキュリティ対策の全体像について解説します。
今だから再認識したいセキュリティの原則 セキュリティ対策の全体像を捉える ― セキュリティの次元
昨今、国家的な背景を持つサイバー攻撃者による機密情報や個人情報の窃取、ランサムウェアによるシステム停止の被害、企業を標的とした大規模な金銭搾取詐欺などの話題が毎日のように報道されています。ただ、そのような報道に出ているのは実際のごく一部だと言われています。それほどサイバー攻撃は身近なものになってしまいました。
一方、日々進化するサイバー攻撃に対して、その対策も日々進化しています。サイバーセキュリティに関する考え方、セキュリティ対策技術について、さまざまな機関やベンダーから新たなアプローチや製品が現れています。その結果、サイバーキルチェーン、多層防御、ゼロトラスト・アーキテクチャ、セキュリティ・バイ・デザイン、UEBA(User and Entity Behavior Analytics)、CASB(Cloud Access Security Broker)といったサイバーセキュリティに関する多様な用語が紙面に踊るようになっています。ただ、それぞれの用語については、セキュリティ全体の一部を切り出した説明になっているため、個々の用語の説明の理解に追われ、セキュリティ対策の全体像を見失いがちではないでしょうか。今一度、セキュリティ対策を原則に立ち返って考えることにより、その効果の最大化とコストの最適化が可能となります。
今回は「セキュリティの次元」をテーマとし、個別のフレームワークや技術を離れて、セキュリティ対策の全体像について解説します。セキュリティ対策の全体像を理解することで、個別のフレームワークや技術についても、より深く理解することができるでしょう。
セキュリティの次元を考える
セキュリティの次元という考え方は、1981年にDonn B. Parker氏によって書かれた"Computer Security Management"※1という書籍に登場します。セキュリティ対策を考える視点とも言える内容で、以後、多くの読者にセキュリティへの示唆を与えてきました。当時のものとは若干異なりますが、ここでは次の3つの次元で考えてみたいと思います。
- 機能:回避、抑制、防止、検出、回復、訂正
- ライフサイクル:計画・実装・運用・保守
- 対策レイヤー:組織・人・技術・物理
1.機能:
セキュリティインシデントの防止、回復のために
セキュリティを機能の軸で整理してみましょう。セキュリティの運用を中心に考えると分かりやすいかと思います。セキュリティインシデントを中心として、それを防ぐという観点、発見して回復していくという観点に大きく分けて考えると、内部統制の考え方で言う予防的統制、発見的統制にも通じる考え方です。それぞれについては概ね、次のように考えることができます。
インシデントを防ぐ機能が中心となりますが、全てを事前に防ぎきることはできないので、検出、回復で補完するのが一般的です。また、内部不正については、抑制は一定程度有効ですが、外部からの攻撃者に対しては効力を発揮しません。
2.ライフサイクル:
システムのライフサイクル全体でどのようにセキュリティ対策を実装していくか
セキュリティと言うと運用に焦点が当たりがちですが、システムのライフサイクル全体でどのようにセキュリティ対策を実装していくかという視点が重要です。それぞれについては概ね、次のように考えることができます。
ライフサイクルの視点から、計画段階でシステムへのセキュリティ機能の実装およびそれを踏まえた運用を適切に管理するセキュリティ・バイ・デザインの考え方を取り入れることで、コスト効果の高い対策を実現することができるでしょう。
3.対策レイヤー:
どのような技術でセキュリティ対策を実施するか
これは、どのような技術をもって対策を行うかという視点とも言えます。
個人情報保護委員会が「個人情報の保護に関する法律についてのガイドライン(通則編)」をまとめていますが、これの「(別添)講ずべき安全管理措置の内容」※2が、対策レイヤーごとにまとめられています。対策レイヤーは企業の組織体に対応させやすいと言うことができます。レイヤーの一つである技術的対策もベンダー製品カテゴリーに合わせやすいこともあり、対策を練りやすいかもしれません。
簡単にではありますが、セキュリティを構成する次元を例示してきました。全体像ではあるものの、必ずしも絶対的なものではありません。重要なことは、さまざまな対策が全体の一部であることを理解し、その対策がカバーしているのが全体のうちのどの部分で、カバーできていない部分がどこにあるのかを理解しておくことです。常に全体像を意識しておくことが重要ですし、これこそがセキュリティの要と言えるかもしれません。
注記
※1:Donn B. Parker, 1981. Computer Security Management. Prentice Hall.
※2:個人情報保護委員会, 「個人情報の保護に関する法律についてのガイドライン(通則編)」[PDF 320KB]
今だから再認識したいセキュリティの原則
1 result
Loading...
Loading...
最新のサイバーセキュリティ&プライバシー コラム・対談
20 results
Loading...
IEC 62443-2-1第2版の改訂内容と推奨される対応
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
ISMAP管理策評価の自動化に向けた洞察―NIST IR 8011 v1r1ドラフトを踏まえて
NISTが公表した「NIST IR 8011 v1r1 (Automation Support for Security Control Assessments)」ドラフトを解説するとともに、ISMAPにおける外部評価の一部自動化と、リアルタイム評価・継続的モニタリングを組み合わせたハイブリッド評価の可能性について考察します。
「営業秘密」の保護と利活用
営業秘密は企業の競争優位性を支える重要な知的資産です。本シリーズでは、営業秘密を取り巻く法制度や保護体制の構築プロセスだけでなく、営業秘密を活かした戦略的な利活用方法についても解説します。企業が持つ情報をどのように保護し、ビジネスの成長や競争力強化につなげるかを考察し、実践的なアプローチを提供します。
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
Loading...
