この記事を読むために必要な時間は約5分(1535文字)です。
今までできていたことができなくなるから、導入できない・・・どうしたらよい? ~ 制約の考え方 ~
- 投稿日:2019-02-21
- 最終更新日:2020-01-14
- 表示:80PV
- カテゴリ:セキュリティ対策の考え方
前回から、「セキュリティ対策を実施する上でのビジネス的な課題」のお話をしています。
前回は「お金(予算)がない」場合についてお話をしました。
今回は、次の「使い勝手が悪くなる」場合のお話です。
目次
セキュリティ対策を実施する上でのビジネス的な課題
問題点は?
今までお話をしてきた実施をためらう課題をまとめると、次の3つに分類できます。使い勝手が悪くなる
どうして使い勝手が悪くなるの?
- 使えることを増やせばセキュリティレベルが下がる
- セキュリティレベルを高めるためには、使えることを減らさなければならない
- 新しい技術は危険
なぜ、セキュリティレベルが下がると考えるかというと・・・
- 脆弱性が潜んでいる可能性(=リスク)がある
- 攻撃対象となる
脆弱性が潜んでいる可能性(=リスク)がある
特に新しい技術の場合、十分に検証されていなくて、脆弱性が発見される場合があります。このため、セキュリティを考慮すると、危険であるという結論となります。
攻撃対象となる
今まで使っていなかった機能を使えるようにすると、多くの機能では、不正アクセスの下準備でお話をした、ポートスキャンで見つかります。下準備で見つかれば、次は本格的な攻撃・・・となるという結論となります。
課題解決のヒント
前回「お金(予算)がない」でお話をしたヒントの一つが、そのまま当てはまります。セキュリティ対策をなんでもひとつでやろうとしていませんか?
「脆弱性が絶対にない」機器・ソフトウェアがあれば、良いのですが、そのような機器・ソフトウェアはありません。あったとしても、開発・検証時間がかかりますから、必然的に新しい(と呼ばれるような)機能ではなくなります。
また、攻撃者がいる以上、見つけられる状態にあれば、「攻撃対象にならない」機器・ソフトウェアもないでしょう。
無い物ねだり・・・になっていませんか?
解題解決の対応
考え方を変える必要があります。どうすれば使える様にできるのかを考えるのです。
それには次の順番を考えます。
- 懸念しているリスクは何か?
- そのリスクを使用可能なレベルに低減するにはどうすればよいか?
懸念しているリスクは何か?
「脆弱性が見つかる」はそのままですね。 しかし、「攻撃対象になる」は「どのような攻撃方法の対象になるか」まで考えることもできます。そのリスクを使用可能なレベルに低減するにはどうすればよいか?
例えば次のようにリスクに合わせた対応を考えればよいのです。- 「脆弱性が見つかる」であれば、最新のセキュリティパッチを如何に早く入手・適用する方法を調べる
- 攻撃方法に合わせた対策を別の機器・ソフトウェアで行えないかを検討する
「どうすれば安全に活用できるか?」を考えるようにすれば、多くの場合「今までできていたことができなくなる」ということにはならないはずです。
お金(予算)など他の制約で、どうしても対策が見つからない場合には、前回お話したようなことを考えて、初めて「できない」と答えられることになります。
次回は、最後の「ルールが守られない」についてお話をします。
タグ:セキュリティーパッチ, 攻撃者, 脆弱性
| 広告枠・・・広告やリンク先の保証はしません | |
|---|---|