Vol. 1 :セキュリティ対策の歩き方~セキュリティ診断とは?

セキュリティ診断は、しないといけないの!?
編集部:セキュリティ診断は、そもそも、しないといけないのですか?

松野:サイバー攻撃には多種多様な手法がありますが、脆弱性を利用した不正アクセスは、一度に大量のデータを抜き取ることが可能なため、被害が大きいことで知られています。WAFのようにWebサイトを保護するセキュリティ対策はありますが、残念ながら万能ではありません。セキュリティ対策をするにあたり真っ先にすべきことは、‟現状を把握するためのセキュリティ診断”です。人に例えると、‟健康診断”ですね。
セキュリティ診断は健康診断!?
編集部:‟セキュリティ診断は人に例えると健康診断である”とは、どういうことですか?

松野:人は定期的に‟健康診断”をして、疾病の早期発見や予防に役立て、健康を維持しています。不安な部位があれば、その部位は‟精密検査”をしてより正確な検査をすることもありますし、40歳など節目の歳には、診断項目が多い‟人間ドック”で、より詳細な検査をします。また特定のウイルスが流行した場合は‟抗体検査”をして、身体にその抗体があるかを確認することもあります。
そして、診断結果に応じて、例えば経過観察をしたり、医師から処方された薬を服用したりするなど、最適な対処法で健康を保ちます。

システムもそれと同じで、まずはセキュリティ診断でシステムのセキュリティ状態を把握します。そして、その診断結果に応じた最適なセキュリティ対策を実施することが望ましいのです。

つまり、人で言うところの‟健康診断”が、システムの‟セキュリティ診断”に当たります。
診断→対処のステップが一番効果的かつ最適
編集部:まずは診断をして現状把握をしたうえで、対策をするということですね。

松野:そうです、そのステップが大事ですね。例えば私たちは、‟風邪が流行っていて不安だから”という理由だけで、風邪薬を服用することはありませんよね。システムも同様で、セキュリティが担保されている状態かどうかも把握せずに、‟サイバー攻撃が流行っていて不安だから”という理由で、無条件に新たなセキュリティ対策を施すことは適切ではありません。そのやり方では、投資したコストも時間も的確でないセキュリティ対策になってしまいます。

‟診断→対処”のステップは、コストパフォーマンスの高いセキュリティ対策を実施するために一番効率的で最適な方法なのです。
セキュリティ診断おススメのタイミングは5つ!
編集部:セキュリティ診断をする必要性が分かってきました。診断をするのにおススメのタイミングはありますか?

松野:診断をするタイミングは、5つです。

<セキュリティ診断おススメのタイミング>
1. システムのリリース前
2.定期診断
3.前回の診断時からシステム変更があったとき
4.運用を開始して数年経っている場合
5.新型のサイバー攻撃が流行しているとき

<解説>
1. システムのリリース前
診断時期が分かり次第、開発スケジュールに入れて準備しておきましょう。

2. 定期検診
毎年一度、時期を決めて行います。また、毎年異なる企業に診断を依頼すると、診断項目や診断基準が変わり定量的に分析しにくくなります。

3. 前回の診断時からシステム変更があったとき
ビジネスの形態が変化し、個人情報など守るべき情報資産を扱うシステムに変更があった場合は、システム変更後速やかに実施することが望ましいです。

4. 運用を開始して数年経っている場合
システム構築当時は万全だったセキュリティ対策も、数年の運用期間を経て劣化し、最新の攻撃を防ぐことができなくなることがあります。

5. 新型のサイバー攻撃が流行しているとき
新型のサイバー攻撃が流行した場合、現行の対策はその攻撃を想定していなかったために、対応できないことがあります。

まとめ:‟セキュリティ診断=健康診断” まずは診断をして的確な現状把握を!
編集部:健やかなシステム運営をするためには、人が健康診断をするように、セキュリティ診断をして、的確に現状把握をすることが大事なのですね。

松野:そうですね。そうすることで、最適なセキュリティ対策をすることができ、情報資産だけでなくコストもしっかり守れて、ビジネスを加速させることにつながるでしょう。