「ネズミがケーブルかじって全てダウン」は昔話でない昔ながらの「機械の故障」が企業のセキュリティにとどめを刺す

セキュリティ対策のおかげで身動きが取れない組織は、物理的なセキュリティ対策を見過ごしてしまう。だが、この原始的な故障に対する優先度は依然として高いことを忘れてはならない。

[Ernie Hayden，TechTarget]

どんなに高度なセキュリティ技術や脅威情報を持っていても、「壊れたルーター」には無力だ

　「社内のセキュリティ評価にネットワークの物理的なハードウェアテストを含める必要はない。リモートスキャンを行い、コンサルタントがファイアウォールのルールセットを再確認すれば十分だ」といった意見を企業のIT担当者が口にすることが増えている。

　しかし、このような考えはセキュリティ問題の一部分しか理解していないため、組織のネットワークにおけるセキュリティに深刻な問題を引き起こす可能性がある。そこまで深刻な事態にならないとしても、IT部門の担当者が「機械はいつも全て順調」という誤った安心感をもってしまう危険性はある。

　セキュリティ対策では、重要な項目として、機密性と整合性、そして、可用性を考慮しなければならない。その優先度は機密性＞整合性＞可用性となるが。最近では、可用性を最も優先する意見も増えている。確かに最近のITと運用テクノロジー（Operational Technology、OT）ネットワークでは、どちらも可用性の重要性が高い。だが、その可用性も、「物理的なセキュリティ対策」とのバランスを取らなければならない。

併せて読みたいお勧め記事

企業が誤解しやすいネットワークセキュリティ

• 「セキュリティ事故は突然に」、インシデント後に増える予算を効果的に使うコツ
• なぜ中小企業の経営者は、情報セキュリティ対策を後回しにしてしまうのか？
• 「身代金ウイルス対策」はお金と時間のムダ？　セキュリティ専門家から懐疑的な声
• モバイルセキュリティでIT管理者が優先すべき“神経の注ぎ先”
• DropboxやGoogle、AWSを悪用する“クラウドマルウェア”、いつの間にか加害者に？
• 「中小企業はサイバー攻撃に狙われない」と思い込んでいる上司をどう説得する？