セキュリティの
学び場

今回の解説ニュース

導入されたセキュリティ対策が有効に活用されていないことについて発表されています。セキュリティ対策が有効に活用されていなかったり、機能していなかったりする原因について説明します。

今回の調査は、北米、欧州、アジア太平洋地域、日本のさまざまな業種にまたがる大企業のIT部門の責任者1,400人以上を対象に実施されました。調査結果によると、全世界の企業の約7割が、IT責任者による投資はまだ不十分で、採用したサイバーセキュリティツールの約6割しか完全に有効化されていないことが判明しました。

さらに、約4割のセキュリティツールが同じ脅威への対策に重複して使用され、これらのツールが稼働していたとしても、企業のWAFが検出するアラートの約4割は誤検知という問題も抱えているということです。

セキュリティツールの半分近くが有用化されていないと言われる背景

セキュリティ対策が有効化されていない背景として、今回の調査結果では「長期間ログ専用モードで実行されており、実際には一切保護していない状況となっている」と発表されています。これがどういうことを意味するか、できるだけわかりやすく説明します。

例えば、皆さんもクレジットカードを持っていると思いますが、まれに使おうと思ったら使えなくなることもあるのではないでしょうか？単純な残高不足も考えられますが、その他にも、通常とは異なる不審な決済であるとクレジットカード会社が判断して、その決済を止めている場合もあります。利用者保護の観点から必要な対応とも考えられますが、その制限が厳しすぎると、利用者本人の決済すらできなくなるかもしれません。

セキュリティ対策も同様で、強い対策を行えばそれ自体が弊害になる可能性があります。そのような状況で、セキュリティ対策には大きく分けて、モニタリングモードとプロテクションモードの2つがあります。

モニタリングモードとは、攻撃に対して監視や検知のみを行い、防御や停止を伴わないセキュリティ対策です。防御や停止を伴うプロテクションモードと異なり、誤検知によって正常な通信や動作が阻害されることはありませんが、攻撃による実被害は発生してしまう可能性があります。

なぜファイアウォールを稼働させていても、誤検知が多くなるのか

多くの誤検知が検出されてしまう理由として、サイバー攻撃と通常のアクセスが極めて近い内容になっていることが考えられます。

例えば、皆さんもツイッターでつぶやく際には、IDとパスワードでログインしますね。ただ、まれに入力するパスワードを間違えてしまうこともあるのではないでしょうか。仮に、1回のパスワード間違いを攻撃とみなしてしまった場合、アカウントは凍結される可能性もあるわけですが、それでは日常の使用に耐えられないことは言うまでもありません。

パスワードリスト攻撃を例に挙げると、使われているIDとパスワードの組み合わせを使って攻撃しますので、認証失敗となった場合は別のIDによって攻撃が継続されます。ブルートフォース攻撃と違い、特定のIDに対する認証失敗が集中することはありませんので、通常のパスワード間違いと区別することが極めて難しい攻撃と言われています。

以上の背景から、先ほど説明したモニタリングモードとプロテクションモードは、どちらも一長一短となりますが、セキュリティ対策が常に正しい判断をするとは限らないことと、日本企業の保守的な文化を鑑みた場合、セキュリティ対策がモニタリングモードで運用されている現状は、やむを得ない選択とも言えるかもしれません。

今回は、セキュリティ対策が有効に活用されていなかったり、機能していなかったりする原因についてお届けしました。