コラム
» 2019年03月12日 08時00分 公開

実例から見るセキュリティ担当者の心構え

連載の最後に、セキュリティ担当者としての心構えについてお伝えします。

[松尾秀樹,セキュアシステムスタイル]

本コラムは2015年9月3日に公開した「実例から見るセキュリティ担当者の心構え」を再編集したものです。

 セキュリティ対策は現場にとっていいことばかりではなく、かえって厄介に思われてしまうことも多々あります。それ故、現場から抵抗されることは普通に起こり得ます。しかし、決して諦めない姿勢が大切です。

 2013年に大流行したパスワードリスト攻撃は、考え得る全ての対策を提示し、それを実施すべき事象でした。例えばWebアプリの導線を変えて、いったん全てのユーザーをパスワードリセットに持っていく手法をはじめ、反復攻撃に耐えるためのCAPTCHAの導入、効果は薄いもののWAFの導入、ログ解析による攻撃者の発見など、さまざまな方法を現場に打診するべきです。

 しかし、多くの会社で「導線を変更するとアクションレートが下がる、改修工数が掛かり過ぎる」といった理由で現場からの抵抗にあっていました。結局具体的な対策が打てず、やむを得ず攻撃と思われる対象のIPを特定して、それを手動で食い止めるということになったのではないでしょうか。

 それでも、継続的に強烈な攻撃が来たときに備えるべきだということの認識が広まり、多くの会社が次の年には全て実践されたはずです。考え尽くせるだけの対策案を出した上で、決して諦めない姿勢が大事ということです。

自分自身に芯を持つことと、新しい事象への対応

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。