【第6回】実例から見るセキュリティ担当者の心構え

IT・IT製品TOP > Key Conductors > 松尾 秀樹(株式会社セキュアシステムスタイル) > 【第6回】実例から見るセキュリティ担当者の心構え
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

【第6回】実例から見るセキュリティ担当者の心構え

2015/09/03

 連載の最後に、セキュリティ担当者としての心構えについてお伝えします。

諦めない姿勢が大事

 セキュリティ対策は現場にとっていいことばかりではなく、かえって厄介に思われてしまうことも多々あります。それゆえ現場から抵抗されることは普通に起こり得ます。しかし、決して諦めない姿勢が大切です。

 2013年に大流行したパスワードリスト攻撃は、考え得る全ての対策を提示し、それを実施すべき事象でした。例えば、Webアプリの導線を変えて、いったん全てのユーザをパスワードリセットに持っていく手法をはじめ、反復攻撃に耐えるためのCAPTCHAの導入、効果は薄いもののWAFの導入、ログ解析による攻撃者の発見など、さまざまな方法を現場に打診するべきです。

 しかし、多くの会社では「導線を変更するとアクションレートが下がる、改修工数がかかり過ぎる」といった理由で現場からの抵抗にあっていました。結局具体的な対策が打てず、やむを得ず攻撃と思われる対象のIPを特定して、それを手動で食い止めるということになったのではないでしょうか。

 それでも、継続的に強烈な攻撃が来たときに備えるべきだということの認識が広まり、多くの会社が次の年には全て実践されたはずです。考え尽くせるだけの対策案を出した上で、決して諦めない姿勢が大事ということです。

自分自身に芯を持つことと、新しい事象への対応

 これはさまざまな経験を積んだ上で判断できることも少なくありませんが、きちんと自分の中に芯を持つことは大切です。

 この数年、OpenSSLに関連したバグであるHeartbleed、Apache Strutsの脆弱性、Internet Explorerの脆弱性などさまざまなセキュリティホールに関する対応に迫られた方もいらっしゃることでしょう。

 しかし、それぞれの攻撃シナリオや実際に何が発生するのかということを1つずつ追いかけていくと、実は攻撃がなかなか成立しにくいものだということがわかったのです。実際にCVSS(共通脆弱性評価システム:Common Vulnerability Scoring System)の値が低かったものもあります。私自身は危険性が大きくないと判断し、慌てて対応せずとも次の定期メンテナンスで十分だと考えていました。

 もちろん、カスタマーやクライアントへどうアナウンスするのかというアプローチはしっかり用意して、その問い合わせの回答も準備する必要があります。大きく報道されてしまったがゆえに多くの人が慌ててしまったからです。

 このとき、技術的な判断だけではなく世間の騒ぎようから、経営的要求としてレピュテーションリスクも考慮し対策を実行することになった方がほとんどではないでしょうか。以降は、新基準としてレピュテーションリスク軸を置くこととし、対策判定基準を更新することが肝心です。

 今でも考えることがありますが、報道とは別にきちんと技術的な検証ができないとダメだと痛感した出来事でした。さらにきちんと技術的に説明した上で、レピュテーションリスクの削減という経営的な要求も満たすために、基準の更新を速やかに施すことも必要なことです。

 緊急対応を決めると組織内に大きな負担をかけますが、それでもやっていただかなければなりません。このとき、自分の中にしっかりとした芯を持った上で話をして、関係者全員に納得いただくことが重要です。

 自分の中にある積み重ねてきた知識や技術に基づいた判断や行動、それはいろんな提示をしていく中でブレのない芯になっていくでしょう。強い芯=信念による言葉は、組織内の皆さんにきっと信頼を得ていくことになると思います。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008164


IT・IT製品TOP > Key Conductors > 松尾 秀樹(株式会社セキュアシステムスタイル) > 【第6回】実例から見るセキュリティ担当者の心構え

このページの先頭へ

キーマンズネットとは
86年リクルート入社、コンピュータタイムシェアリング事業でスパコンの設置/運用。93年SI事業へ出向、大手クライアント技術支援。2002年システムセキュリティ担当、Webサービスの施策展開。2014年リクルート退職、株式会社セキュアシステムスタイル設立、代表取締役。「企業のセキュリティ担当者を支援するサービス」開発・提供中。

ページトップへ