守るべきものと狙われているもの

  • サイバー攻撃
  • セキュリティー境界
  • 守るべき資産
  • 防御
  • 2018.09.03
  • 森 駿

先日シマンテックのエバンジェリストであるジュゼッペ 小林さんから面白いお話を伺いました。
「守るべき資産と狙われている資産は違う」というお話です。企業が "これは守らなきゃ" と思っている資産と攻撃者が "こいつを狙おう" と思っている資産は違うのだよ、という、聞けばその通りと思いますが、目から鱗(うろこ)のお話でした。

 我々のようなセキュリティービジネスに携わる者がお客さまにヒアリングをするとき、まず最初に「守るべき資産は何ですか?」を浮き彫りにする質問ををしますが、それは企業視点であって攻撃者視点ではありません。攻撃者が一体何を考えて自社に攻撃を仕掛けてきているのかを理解しなければいけない。そういうお話でした。


もうちょっと掘り下げてみます。

セキュリティーを考えるとき、以下の5つの項目に着目すると整理しやすくなります。

1. 守るべき資産
企業にとって何が重要か。それは情報かもしれないし、物かもしれないし、人かもしれません。それは企業によって全く違います。
2. 攻撃者
その資産を狙ってくる攻撃者です。ハッカー?競合会社?社員?これらを想定しておくことは重要です。
3. 攻撃
どんな攻撃か。破壊、改ざん、盗難、大体この3つに分類されるでしょう。
4. 攻撃ルート
どこを通って攻撃してくるか。建物で言えばドア、窓、壁、屋根、床、煙突などがあるでしょう。サイバーであればインターネット回線、USBメモリーなどですが、通信経路を分解すると、社内LAN、キャリア回線(3G、4G)、WiFi、Bluetoothなどがあります。
5. セキュリティー境界
どこで攻撃を食い止めるかです。攻撃ルートを想定したら、そのルートに壁を設けます。インターネット回線ならばファイヤーウォール、建物ならばドアや窓に鍵、という風にです。攻撃者が入れないようにするというわけですね。そしてもしその壁を突破されたら次の壁というように多層に壁を用意するのも常識です。これを多層防御と言います。


【守るべき資産とセキュリティー境界】
守るべき資産とセキュリティー境界
【多層防御:フロアのゾーニング】
多層防御
 そしてどんな対策を打っていくかという議論になりますが、これは①~⑤が企業にどのような脅威をもたらし、それがどんなリスクになるかによります。脅威があってもリスクにならないのなら対策を打つ必要はありません。
 これが冒頭の「守るべき資産と狙われている資産は違う」ということです。

例えば、
-----
 ある製造業Aは、特殊機械の設計図を "守るべき資産" と考えています。それは、これが競合他社に漏れてしまうと市場競争に勝てなくなるというリスクがあると考えているためです。
 製造業Aは、従業員を "攻撃者" と想定しました。近年他の製造業者への転職・引き抜きが頻繁に発生しており、従業員が退職する際に特殊機械の設計図を持ち出す脅威を一番に防ぎたいと考えていました。そこで設計図が入っているデータベースを暗号化し、データベースにアクセスできる社員のID管理・アクセス管理を徹底し、社員のPC上の動き、設計図データベースへのアクセス、社内LAN上の動きをふるまい分析する仕組みと、それによって異常行動が検知されるとアラートが出る仕組みを導入しました。
 ある日異変が・・・ 製造業Aの顧客が製造業Bに次々にリプレースされたのです。製造業Bは製造業Aとは全く違うコンセプトの特殊機械を開発し、それを製造業Aの顧客にリプレース提案していたのです。製造業Aは業績が急激に悪化していきました。
 原因を調べると、想定していたように製造業Aからの退職者が大量に製造業Bに転職していました。想定していたようにデータも持ち出されていました。しかし、持ち出されていたのは設計図ではなく顧客リストでした。製造業Bは設計図ではなく顧客リストが欲しかったのです。
 製造業Aは自社の特殊機械の設計図に価値があると考えていましたが、製造業Bはそこには価値が無く顧客リストにこそ価値があると考えていたのです。
-----

「守るべき資産と狙われている資産は違う」は、次のように言い換えられます。

「企業が守るべき資産と思いこんでいるものは、得てして攻撃者が狙っている資産と違うことがある。攻撃者に狙われている資産が何かを理解した上で企業が守るべき資産を定義する必要がある」

さて、みなさんの会社では何が守るべき資産になるでしょうか。


森 駿