セキュリティ製品を爆買いすればセキュリティが高まると勘違いしていないか？：今こそ「ゼロトラストセキュリティ」実装を

いくらセキュリティ製品を導入しても、セキュリティの根本的な向上には結び付かない可能性がある――。あるセキュリティ専門家は、そう断言する。それはなぜなのか。

[Tim Holman，TechTarget]

　「単に最新のセキュリティ製品を導入するだけでは意味がない」。セキュリティコンサルティング企業2|SECのティム・ホルマン最高経営責任者（CEO）はそう語る。どういうことなのか。ホルマン氏の寄稿から、その真意を探る。

---

だからセキュリティ製品の“爆買い”は「無意味」

　企業は現状のセキュリティ対策をいくら続けても、攻撃の実害を防ぐことはできない――。主な攻撃事例を見て、私はそう結論付けた。問題は何か。企業は新しいセキュリティ製品の導入といった表面的なセキュリティ対策に注力しがちで、根本的対策のてこ入れを怠っている、ということだ。

　「難しいことを言うなあ」とため息をつきたくなるだろうか。しかし、この問題には真剣に向き合うべきだと私は考えている。もう少し分かりやすく説明しよう。

併せて読みたいお薦め記事

抑えておきたいセキュリティの動向

• “中国政府が支援するサイバー犯罪者”が特に狙う「あの脆弱性」とは
• 新発見の脆弱性どころか「古い脆弱性」が危ない当然の理由

　私がセキュリティの仕事に就いたのは、1990年頃だ。当時は「ゼロトラストセキュリティ」の言葉こそなかったが、セキュリティ対策において「誰も信用するな」という考え方は、セキュリティ専門家の常識になっていた。

　近年はセキュリティ技術の進化とともに、さまざまなセキュリティ製品が登場している。ただしセキュリティポリシーの策定や従業員のセキュリティ育成といった、既存のセキュリティの仕組みがしっかりしていなければ、企業がいくら新しいセキュリティ製品を上乗せしても、根本的なセキュリティの向上にはつながらない。強固なセキュリティの仕組み作りは、ベンダー任せにはできない。ユーザー企業の責任だ。

　人工知能（AI）技術の搭載によって、セキュリティ製品に学習機能やリスク判断機能を持たせることがトレンドになっている。こうした機能自体は大いに意義があるが、もろいセキュリティの仕組みを強固にするための根本的な解決策にはならない。実際、さまざまなセキュリティ製品を導入しているとみられる大手企業を狙った攻撃や実害が報道され、私の論調を裏付けている。

　2022年9月、Uber Technologiesはサイバー攻撃を受けたことを発表。同社が利用していたSlack Technologiesのビジネスチャットツール「Slack」に対して、攻撃者による不正アクセスがあったことを明らかにした。攻撃者はソーシャルエンジニアリング（人間の心理を巧みに利用して機密情報を入手する手法）により、Uber従業員のSlackアカウントを不正に取得したとみられている。

　企業はいかに優れたセキュリティ製品を導入しても、人間の脆弱（ぜいじゃく）性を排除できなければ、実害を防ぐことは難しい。セキュリティに関して、従業員を信用し切ってはいけない。従業員はミスを犯すだけではなく、退職してセキュリティ関連情報を外に持ち出す可能性があるからだ。

　私は企業に対し、セキュリティの仕組みを一から再構築することの重要性を訴求している。再構築の際に最も大切なことは、やはりゼロトラストセキュリティの考えを取り入れることだ。セキュリティベンダーはゼロトラストセキュリティを切り口にした製品展開に注力している。ユーザー企業にとってゼロトラストセキュリティに取り組むハードルは下がっていると考えられる。

　セキュリティ再構築の際に手助けになるのは、Information Systems Security Association（ISSA）をはじめとするセキュリティ非営利団体が、企業向けに公開しているガイドラインだ。セキュリティ専門家の知恵を借りつつ、ガイドラインに基づいてしっかりしたセキュリティポリシーを導入することは、強固なセキュリティの仕組み作りの第一歩になる。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。