セキュリティ診断サービスうちの会社には何が必要?
投資対効果を最大化するセキュリティ対策とは

セキュリティへの対策予算は無駄コストなのか?どうすれば投資対効果を最大化できるのか?
タレスDIS CPLジャパン株式会社前田氏と株式会社イエラエセキュリティ取締役伊藤氏によるパネルディスカッションで分かりやすくお伝えします。

  • 本内容は2021年11月15日から26日に開催のオンラインベントCanonSecurityDaysのバーチャル展示コーナーで公開された講演内容を一部抜粋し公開しています。
    ぜひ全編はオンライン動画でご視聴ください。

何にどれだけコストをかけるのが適正なのか、
正しく把握するポイント

セキュリティは企業システムの運用において単なる「コスト」として認識されがちです。
セキュリティ管理に携わっている管理者の中には、
「セキュリティ対策は効果が見えづらい」
「一体何を導入すればよいか分からない」
「セキュリティ対策に予算を取りたいが承認が下りない」
というお悩みをお持ちの方も多くいらっしゃるのではないでしょうか。

本セッションでは、『投資対効果』という切り口から、
本当に意味があるセキュリティへの投資とは、という命題を紐解きたいと思います。

40分近くの見ごたえのある有意義なセッションの一部を、以下に抜粋いたします。
本編はページ内のリンクからYoutubeでご視聴いただけます。

パネルディスカッション

ゲスト
株式会社イエラエセキュリティ 取締役 伊藤章博氏
タレスDIS CPLジャパン株式会社 データプロテクション事業本部 パートナー営業部 部長 前田俊一氏
モデレーター
キヤノンマーケティングジャパン株式会社 石川滋人

攻撃者の視点で行う脅威モデリングの実例とは?

(伊藤氏)
攻撃者の視点で行う脅威モデリングの有効な手立てが、ペネトレーションテストです。
ペネトレーションテストを実際に受けていただくと、意外なことが判明するケースが多々あります。
例えば、ネットワークで分離できていたと思っていたセグメント同士が思わぬポイントでつながっていて重要情報にアクセスできる経路が残されていた、とか、クラウドの設定に問題があり、同じく重要情報に触れられてしまう危険性が残されていたが「クラウドのデフォルト値がこうなっているとは知りませんでした」というケースなど。
起点は些細なことですが、それが多層化していくと攻撃の糸口として悪用され実被害につながります。
調べてみると必要な改善策は、既存機の設定変更だけで済むケースもあります。そうすると余計な対策コストを支払わずに済みます。

株式会社イエラエセキュリティ
伊藤章博氏
ホワイトハッカーが多数在籍する同社でセキュリティサービスを幅広く提供

もっと大きい枠でとらえると、攻撃を受けたときに自社はどこまで出来るかを確認するということも大きなポイントです。
SOCチームは攻撃を正しく捕らえられているか、EDRは検知しているか。
EDRなども導入すればそれで安全、というわけではありませんので、実効力のある守りの改善ポイントを見つけることができます。
他社で有効であった手立てが、自社にも有効とは限りません。
セキュリティのウィークポイントは各社ごとに違いますし、有事の際にとれる対応も人や組織に依存しますので画一的なアーキテクチャで対応できるものではありません。

動画では具体例や詳細な解説をご視聴いただけます

企業にとっての最大の関心事は重要な情報を守ること、ではその方法は?

(前田氏)
データ保護の観点から暗号化の有効性について紐解くと、当社は暗号や鍵管理で長らく政府機関や金融機関などの超機密データに対して利用されてきました。
データは漏れるもの、という視点では暗号化がベストな方法だと思っています。
伊藤さんのお話と組み合わせると、攻撃から身を守る外側の起点が疑似的な攻撃であるペネトレーションテスト、内側の起点がデータに着目した暗号化といえます。

もっと具体的に暗号化を施す有効性とは、海外のガイドラインや総務省でも示されているように『鍵さえ漏れなければ漏えいとみなされない』と言われている点です。
そうすると、法対応が出来ていることに加え、事実を調べて公表をするにしても時間に余裕を持った対応が可能です。

タレスDIS CPLジャパン株式会社
前田俊一氏
国家防衛を事業の根幹とする仏政府が筆頭株主のタレスグループで暗号化製品を取り扱う

鍵管理をしておくと、先ほどの伊藤さんのお話でアクセス管理やパスワードの漏れという話がありましたが、正しい人がアクセスしたか、どういうふうにデータを扱う挙動をしたか把握するというリスク管理ができます。

また、米国国立標準技術研究所(NIST)の『データ廃棄』に関する項が改訂されています。
従来の多重書き込みだけではなく、暗号化されて鍵を適切に消去しているものを廃棄することはデータ廃棄の一つの手法として認めると書かれています。
自治体で発生した事案で使用していたパソコンの再販業者により行政文書が流出したという事案がありましたが、暗号化されていれば解かれる心配はありませんでした。

動画では具体例や詳細な解説をご視聴いただけます

このほかにも、以下のトピックについて語っていただきました。
セキュリティを管理するうえで、ヒントとなることがあるかもしれません。ぜひ一度ご視聴ください。

  • セキュリティ強度を高めるために重要な権限分掌とは?
  • 他者に運用を委託しているから大丈夫、とは言えない理由
  • サイバー攻撃を受けてしまった場合に対策のスピードを上げるには?

皆さまへのコメント

  • 株式会社イエラエセキュリティ・伊藤氏

    セキュリティはコストになってしまう、という話はよくありますが、翻って皆様のお取引先と信頼関係を構築するプロフィットの側面も持っています。
    サイバー攻撃におびえるばかりではなく、それは本当に脅威なのか、ということを可視化していただければと思います。
    そのために有効な手段がペネトレーションテストです。

  • タレスDIS CPL株式会社・前田氏

    日本の文化の中では鍵管理はまだまだ定着していませんが皆さまの身を守るためにも有効な手段です。
    サイバー攻撃が起こった時に、最後の砦となる暗号化と鍵管理をタレスでは「アンカーセキュリティ」と呼んでいます。
    最小のコストでリスクを極小化することについてお話させていただきました。

関連記事