＜2015年のセキュリティ＞日々進化する攻撃手法を研究しても仕方がない

サイバーセキュリティ分野に携わる方の多くは、最近のサイバー攻撃の手法については理解しています。しかし、セキュリティ対策の「判断」を下す経営層は、そういった手法や言葉すら知らないことが多く見られます。彼らの言葉を借りれば「技術手法よりも、攻撃によって生ずる結果やインパクトしか興味は無い」ということ。実はこの考え方は極めて重要な意味を持っています。今回（第28回）はセキュリティ対策の投資という観点で、企業や行政機関が執るべきアプローチについて解説していきましょう。

企業が「病原菌」を研究する意義はあるのか？

　Heartbleed（ハートブリード＝OpenSSLの脆弱性）やShellshock（シェル・ショック＝オープンソースプログラムbashの脆弱性）など、日々明らかになる攻撃手法の一つ一つは、我々セキュリティ専門家にとっては非常に重要です。

　一方で経営者の視点から見れば、日々進化し続ける攻撃手法を理解したところで、企業経営に直接的な影響を与えません。今この記事を読んでいる間にも次々と新しい攻撃手法が生まれてます。

　日々進化し続けるのがサイバー攻撃手法。これを医学の世界で例えるならば、「病原菌」の研究そのものです。本来は我々自身が細かい内容を知る必要もないですし、その内容を理解することは、専門分野の人以外、よほど興味が無い限り理解すら困難です。

　しかし、ひとたび病気になった際、その「病名」と「症状」については理解する必要があり、さらに「対処」は病気を患った方であれば最大の関心を持つわけです。

　ただ、対処方法として手術が必要な場合、その必要性は大局的に理解しても、手術手法を事細かいに知る必要もなければ、処方される点滴や薬の種類まで把握して判断する人は、よほどのマニアでない限りいないでしょう。

症状がないのに技術用語を並べても不安を煽るだけ

　サイバーの世界も全く同じ考え方です。攻撃手法はいわば未知の不正プログラム同様に“病原菌”であり、その病原菌に感染し体が侵されるプロセスを意味しています。

　病原菌は日々進化し、対処方法も日々進化し続けるわけです。

　経営者の目線に立った時、そういった病原菌の一つ一つを理解しても、症状が出ているならまだしも、症状が無い状態で技術用語を並べられても不安が煽られるだけ。それがエスカレートすると不審に思われるようになるでしょう。

ツール導入だけでは“永遠のもぐらたたき状態”に

　IT担当の方であれば、お付き合いされているベンダから最先端の攻撃手法に対して「〇〇攻撃に対応ができます」とPRをうけ、その時のブームによっては新たなツールを導入する、というケースがあるかもしれません。

　新しい攻撃手法はセールストークとしてはとても話しやすい訳ですが、大局的にみた際、明日の新たな脅威に対応ができるか否かはだれも分かりません。

　何度も指摘してきたように“永遠のもぐらたたき状態”が続くわけです。もちろん、ツール群も正しく設定し、出力されるログを知見のもった専任者（医者）が見れば有益ですが、そういった解析ができるアナリストは、そもそも根本的に不足しています。

攻撃手法を解析し対処策を考えるのは専門家の役割

　セキュリティ対策において、進化し続ける攻撃手法を解析して対処策を考えるのは、医者である「専門家」の役目であり、専門家が分析した結果を踏まえて対処策を実行するか否かの判断を行うのがIT管理者に求められます。

　ただし、専門家が説明する内容を理解する知見を養ううえで、セキュリティ用語や対処策などの原理原則を理解しておくことはIT管理者に必要なことです。

　医者の言っていることが正しいのかどうか、もし病気に体が侵されているのであれば、処置するか否かといった点を判断する能力こそがセキュリティ人材育成において重要な意味を持ちます。

IT担当者は研究や解析を行うことが業務ではない

　本来、IT部門はさまざま業務を抱えており、医者に求められるような研究や解析といった業務はそもそも本来業務ではないはずです。

　一昔前のようにウイルス対策製品が着実に攻撃を遮断できた時代であればまだしも、高度な知見を持った犯罪者の攻撃手法のすべてを理解するよりも、「対処」の「判断」を下すための能力向上や、運用体制を改善・構築する事が重要になります。

　それはセキュリティを「各論」で語るのでなく「総論」として捉える事がIT管理者に求められる時代です。

セキュリティを各論で語る時代はもう終わりに！

　病気（病原菌）そのもの、さらにその病気に感染するプロセス（攻撃手法）は日々進化し続けますが、その研究や分析は“医者”に任せ、本来のセキュリティ運用に求められる判断や処置にこれからのセキュリティ対策は軸足を移すべきだと考えます。

　それは皆さんが信頼できる「ホームドクター」と密と連携する事でもあります。

　少し考えてみましょう。医者は病気が特定されていないのに「薬」を処方したり勝手に「手術」を行うでしょうか。サイバーの世界でも全く同じロジックが成り立ちます。

　セキュリティを各論で語る時代はもう終わりしましょう。経営者の目線に立った時、IT部門に求められる業務に集中するためにも、信頼のおける医者（専任者）との業務分担と責任分解点を明確にすること――。

　2015年はそのアプローチこそが求められています。