実例から見るセキュリティ担当者の心構え

連載の最後に、セキュリティ担当者としての心構えについてお伝えします。

[松尾秀樹，セキュアシステムスタイル]

本コラムは2015年9月3日に公開した「実例から見るセキュリティ担当者の心構え」を再編集したものです。

　セキュリティ対策は現場にとっていいことばかりではなく、かえって厄介に思われてしまうことも多々あります。それ故、現場から抵抗されることは普通に起こり得ます。しかし、決して諦めない姿勢が大切です。

　2013年に大流行したパスワードリスト攻撃は、考え得る全ての対策を提示し、それを実施すべき事象でした。例えばWebアプリの導線を変えて、いったん全てのユーザーをパスワードリセットに持っていく手法をはじめ、反復攻撃に耐えるためのCAPTCHAの導入、効果は薄いもののWAFの導入、ログ解析による攻撃者の発見など、さまざまな方法を現場に打診するべきです。

　しかし、多くの会社で「導線を変更するとアクションレートが下がる、改修工数が掛かり過ぎる」といった理由で現場からの抵抗にあっていました。結局具体的な対策が打てず、やむを得ず攻撃と思われる対象のIPを特定して、それを手動で食い止めるということになったのではないでしょうか。

　それでも、継続的に強烈な攻撃が来たときに備えるべきだということの認識が広まり、多くの会社が次の年には全て実践されたはずです。考え尽くせるだけの対策案を出した上で、決して諦めない姿勢が大事ということです。

自分自身に芯を持つことと、新しい事象への対応

　これはさまざまな経験を積んだ上で判断できることも少なくありませんが、きちんと自分の中に芯を持つことは大切です。

　この数年、OpenSSLに関連したバグであるHeartbleed、Apache Strutsの脆弱（ぜいじゃく）性、Internet Explorerの脆弱性などさまざまなセキュリティホールに関する対応に迫られた人もいることでしょう。

　しかし、それぞれの攻撃シナリオや実際に何が発生するのかということを1つずつ追いかけていくと、実は攻撃がなかなか成立しにくいものだということが分かったのです。実際にCVSS（共通脆弱性評価システム：Common Vulnerability Scoring System）の値が低かったものもあります。私自身は危険性が大きくないと判断し、慌てて対応せずとも次の定期メンテナンスで十分だと考えていました。

　もちろん、カスタマーやクライアントへどうアナウンスするのかというアプローチはしっかり用意して、その問い合わせの回答も準備する必要があります。大きく報道されてしまったが故に多くの人が慌ててしまったからです。

　このとき、技術的な判断だけではなく世間の騒ぎようから、経営的要求としてレピュテーションリスクも考慮し対策を実行することになった方がほとんどではないでしょうか。以降は、新基準としてレピュテーションリスク軸を置くこととし、対策判定基準を更新することが肝心です。

　今でも考えることがありますが、報道とは別にきちんと技術的な検証ができないとダメだと痛感した出来事でした。さらにきちんと技術的に説明した上で、レピュテーションリスクの削減という経営的な要求も満たすために、基準の更新を速やかに施すことも必要なことです。

　緊急対応を決めると組織内に大きな負担をかけますが、それでもやってもらわなければなりません。このとき、自分の中にしっかりとした芯を持った上で話をして、関係者全員に納得してもらうことが重要です。

　自分の中にある積み重ねてきた知識や技術に基づいた判断や行動、それはいろんな提示をしていく中でブレのない芯になっていくでしょう。強い芯＝信念による言葉は、組織内の皆さんにきっと信頼を得ていくことになると思います。

著者紹介：松尾秀樹

1986年リクルート入社、コンピュータタイムシェアリング事業でスパコンの設置や運用を担当。1993年SI事業へ出向、大手クライアント技術支援。2002年システムセキュリティ担当、Webサービスの施策展開。2014年リクルート退職、セキュアシステムスタイル設立、代表取締役。「企業のセキュリティ担当者を支援するサービス」を提供中。