情報セキュリティ対策の有効性評価―セキュリティ対策がセキュリティホールになることも―

情報セキュリティ対策は永遠に有効なものではない

どんなに強力な情報セキュリティ対策も永遠に有効というわけではありません。新たな攻撃手法や技術の登場によって、過去に導入した対策が破られてしまうというだけでなく、別の対策とぶつかりあって、予期せぬ脆弱性を生み出すということもあります。もっとも多いのは継続的な点検や保守を怠ってしまい、既知の脆弱性が放置されているというケースです。

買ったら終わりは危険

情報セキュリティ対策のためのハードウェアやツールもまたデジタル製品であるがゆえに、ぜい弱性がつきものです。適切なバージョンアップや修正更新を続けていかないと、かえってサイバー攻撃を受けやすくなってしまうという本末転倒な状態をつくってしまいます。脆弱性対策情報データベースであるJVN iPedia (https://jvndb.jvn.jp/index.html)には毎日、発見された脆弱性とメーカーからの対策情報が公開されています。買ってから放置されている情報セキュリティ対策製品やツールは極めて危険なのだということをトップに知ってもらわないといけないのです。

ISMS(ISO27001) やプライバシーマークも同じ

ISMS (ISO27001) やプライバシーマークを取っていても同じです。社内ルールが本当に機能しているかが問題であり、根拠のない安心感をトップや取引先に持たせるのは大変危険です。ISMS (ISO27001) では全ての管理策(情報セキュリティ対策)が有効に機能しているかを定期的に測定・評価することが求められており、プライバシーマークにおいても、ルールが守られているか日々点検することが必要とされています。

買ったら終わりは危険

技術的対策に対する有効性評価としては、前述のJVN iPediaによる脆弱性有無の確認や、ペネトレーションテスト(侵入テスト)の実施、ログ上に不審な挙動や未検出の攻撃兆候がないかを確認することなどが考えられます。社員教育など組織的対策では、アンケートや理解度テストの実施や、業務観察やヒアリングといった確認方法が考えられます。標的型メールやフィッシング訓練も、従業員の意識改善につながるでしょう。

セキュリティ担当者の退職や異動時に注意

セキュリティ担当者の退職や異動時にも注意が必要です。担当していた情報セキュリティ製品やツールについて、運用業務だけでなく点検保守の方法についても業務引継を確実にしておくことが必要です。セキュリティを担当する人は、自らがセキュリティホールを作ってしまわないように常に情報共有や引継を心がけるようにしてください。