「セキュアな運用」を考える

第1回 セキュリティと運用

概要

ここ近年、サイバー攻撃の巧妙化やセキュリティインシデントの複雑化が進み、その発生を完全に防ぐことはほぼ不可能となってきたと言われています。 企業や組織も従来とは「セキュリティ」の考え方を根本から改めることが求められており、「インシデントは起こるもの」という事故前提での業務設計が必要になってくると考えられます。 本コラムでは、今後求められる「セキュアな運用」について、現場の視点を中心に考察していきたいと考えています。

ここ数年でセキュリティインシデントの傾向に大きな変化があり、経済的な利益を狙う攻撃が主流となってきたと言われています。 更にセキュリティ攻撃の商業化や分業化も進んでいるとされ、標的型攻撃の対象の拡大と被害金額の高騰化などが大きな問題となってきています。
 
最近は「完璧に守りきることは不可能」という認識がセキュリティ専門家の間でも広がりつつあり、「やられたことにいかに早く気づき、いかに早く対応し、復旧をさせるか」という「ダメージコントロール」がセキュリティ対応における最重要課題となっています。
 
また、内部起因のインシデントにより企業が大きな痛手を受けるケースが増えてきていることから、特定の部門や職域に限らず、広く一般的な業務においても何らかの防護機構や検知機構が必要になっていくと予想されます。
 
 「セキュリティ」という特殊な分野を切り出して対応する時代は終わり、日々の業務の一部として普通にセキュリティを意識する「セキュアな運用」が求められる時代になったと筆者は考えています。
 
本コラムでは、運用現場の視点からセキュリティを俯瞰し、今後のセキュリティと運用について考えていきたいと思います。 是非みなさんのご意見もお聞かせください。なお、筆者はセキュリティ監査(ISMSなど)に関する専門家ではないため、本連載の内容は運用現場視点で今後の運用業務とセキュリティについて考察した内容であることをご理解いただければ幸いです。
 

セキュアな運用とは

「セキュア(secure)」とは、「セキュリティ(security)」の形容詞形で「安全な、安心な、保障された、頑丈な、自信に満ちた」などを意味する英単語です。 ここでは「セキュアな運用」とは、「安全な、安心な、保障された、頑丈な、自信に満ちた運用」のことを言うものとします。
 
この「セキュアな運用」の具体的なイメージとその中で優先されるべき事項は、運用業務への関わり方によって以下のように異なるでしょう。
 
1. 運用現場にとってのセキュア (ムリが無いことが大事)
日々高い業務負荷に晒されている運用現場において、セキュリティ施策の実効性を確保するためには、まず「ムリが無いこと」が重要になります。 理念は正しくても現実を無視したポリシーや施策は、最初のうちは無理をしながらも守られるかもしれませんが、そのうちその負担に耐えられずに空文化し「やったことにする」「ポリシー上はそうなっているが運用上は別手順でやる」などの現場最適化がはじまり、理想と実態の乖離が進んでいくようになります。「セキュアな運用」を実現する上で、運用現場にムリを強いることは最初に避けなければいけないポイントです。
 
2. 利用者にとってのセキュア (ムラが無いことが大事)
運用現場が提供するサービスを利用する利用者にとっては、セキュリティ施策が自分達の不利益を全面的に防止するものであることが重要になります。 特定部位だけがセキュアに運用されていても、他の部位が脆弱であれば結果として自分達の重要な情報が漏洩したり、そのサービスを正常に利用できなくなるなど大きな不利益を被るわけです。 特に、提供するサービスが自社に閉じておらず、第三者のサービスを利用している場合にこの視点が重要となります。限られた予算やリソースの中でセキュアな運用を実現するには、提供するサービス全体でバランスの取れたムラの無いセキュリティ施策を行うことが重要なポイントとなります。
 
3. 経営者にとってのセキュア (ムダが無いことが大事)
運用現場を含む組織全体の経営責任を負う経営者にとっては、セキュリティ施策に使われる費用やコストが適切であることが重要になります。 経営者や株主(資本主)にとって会社の資金は、経済活動における血液であり、市場という名の戦場を生き抜くための実弾ともいえるもので、1円たりとも無駄にしたくないという強い思いを持っています。 特に運用現場に対して、その費用対効果がわからない、もしくは妥当ではないと感じている経営層が多いのが現実です。 非常に難しいことですが、セキュアな運用を実現する上で、経営層が「ムダではない」と納得するようなセキュリティ施策を行うことが重要なポイントとなります。
 
4. 監査者にとってのセキュア (モレが無いことが大事)
その運用現場が何らかのセキュリティ監査を受けている場合は、監査対象を運用現場がきちんと把握していることが、監査者にとっても重要になります。運用現場について一番詳しいのはやはり運用現場の人間であり、外部から監査を行う人間がその実情を把握できる範囲は限定されます。 実効性のある監査を実現するには、監査者の専門能力も重要ですが、運用現場がその現状を監査事項と照らし合わせた適切な客観化を行い、実質的な監査漏れが発生しないようにすることが重要なポイントとなります。
 
5. 全ステークホルダーにとってのセキュア (事業継続性が大事)
このように、「セキュア」と一言で言ってもその概念が立場によって異なることを理解しておくことは、「セキュアな運用」を実現する上でとても重要となります。 一方で、立場を超え共通して重視されるものとして、その運用業務(事業)の継続性があります。
運用現場にとっては、要望があるときに適切なタイミングで継続的にサービスを提供することが、その業務のプロとしての重要な価値となっているでしょう。 利用者にとっては、「継続的に提供されていること」が利用するサービスを選択および評価する上で大きな判断要素となっているでしょう。 経営者にとっては、そのサービスが「きちんとその価値を利用者に対して継続的に提供できていること」が、そのサービスの提供をそのまま継続するか否かを決定する上で重要な判断材料となっているでしょう。そして、業務を正常に継続できるために必要な助言が期待されている監査者にとっても、事業継続を実現すること自体が監査のプロとして重要な価値となっていると考えられます。
 
これら多くのスタークホルダー(利害関係者)が期待する「運用業務(事業)の継続」という共通の価値を前提に、「ムリ、ムラ、ムダ、モレが無い運用」をいかに具体化していくか、が「セキュアな運用」を実現していく上で重要な視点となるのではないでしょうか。
 

セキュリティインシデントを防ぐには

冒頭に述べたように、セキュリティインシデントの発生が運用業務や企業の事業継続性に対して大きな影響を与える傾向が強まっています。 このセキュリティインシデントの発生を抑止するにはどうすればよいでしょうか。
ここではセキュリティインシデントが発生するための要件について考えていきたいと思います。
 

セキュリティインシデント発生の3要件

まず、セキュリティインシデントが発生する要件について考えてみましょう。
 
要件1. 「リソース」を持っている
セキュリティインシデントは、一般的に組織が持っている機密情報が漏洩もしくは改竄されたり、WebサーバやDBサーバ、クライアントPCなどを不正に利用されたり、提供しているサービスについて何らかの妨害を受けることにより発生します。 つまり、その組織が保有するリソースについて、故意や過失を問わず何らかの正常ではない利用が行なわれることによりセキュリティインシデントは発生します。 この事は、まず「リソースを保有していること」がセキュリティインシデント発生における第一の要件となっていることを意味します。
 
要件2. 「リソース」に対する「脅威」が存在する
しかし、「リソース」を単に持っていることが即セキュリティインシデントにつながるわけではありません。 そのリソースに対して、意図的もしくは偶発的な「脅威」の存在があってはじめてセキュリティインシデントが発生する可能性が生じます。 無数に可能性のある「脅威」のうち、そのリソースが不正もしくは想定外の利用がされることにより重大な損失を与えるものがその組織にとっては重要となります。 例えば、定期購読している新聞等には、仮に盗難に遭っても新聞自体からは重大な情報漏洩にはつながらないため、「リソースに対する脅威」が存在するとは通常は考えられません。 (組織内のモノが盗難に遭う、という事実に対しては別の観点から脅威と捉えるべきでしょう。)
 
要件3. 「リソース」に「脆弱性」が存在する
保有している「リソース」に対して何らかの「脅威」が存在しても、そのリソースが完全に安全な環境に置かれているのであればセキュリティインシデントは発生しません。 つまり、セキュリティインシデントの発生には、そのリソースに何らかの「脆弱性」が存在することが必要となります。
 
以上のことから、以下の3つの要件が揃ってはじめて、セキュリティインシデントが発生することになります。
 
* 要件1. 「リソース」を持っている
* 要件2. 「リソース」に対する「脅威」が存在する
* 要件3. 「リソース」に「脆弱性」が存在する
 
ここで「リソース」とは、「何らかの形で取り扱える状態にあり、その組織や第三者にとって価値のあるモノ、ヒト、カネ」とします。
理論上は、このいずれかの要件が欠ける状況を作り出すことがセキュリティインシデントを防止することにつながると考えられます。
 

まとめ

今回のコラムでは、「セキュアな運用」とはどういうものか、その関わり方によってイメージが異なること、実効性のあるセキュリティインシデント抑制を実現するためには、その発生要件を把握する必要があるというお話をさせていただきました。
是非ご意見をお寄せください。
次回はセキュリティマネジメントについて考察していきたいと思います。

連載一覧

コメント

筆者紹介

筆者紹介
波田野 裕一 (はたの ひろかず)
運用設計ラボ合同会社
シニアアーキテクト

キャリア、ISP、ASPにてネットワーク運用管理およびサーバ、ミドルウェア、障害監視センタの構築や運用に従事。
システム運用の苦労がなぜ軽減されていかないのか?という疑問をきっかけに2009年より運用業務に関する研究活動を開始し、エンジニア向けイベントでの講演や各種媒体での執筆の他、情報関連の学会や研究会などにおける論文発表なども行っている。

バックナンバー