本連載は、組織のセキュリティ体制を整えてきた筆者の経験から「セキュリティにおいて大切なもの」「セキュリティで起きがちな課題」「安全な組織とは」などをさまざまな切り口で考察するものだ。
しばらく間が空いてしまったため、前回のおさらいから始めよう。前回の最後でサイバー攻撃に対応する関係者は、組織階層により目的や考え方、求められるミッションが異なるため、折り合いをつけることが困難な場合があるという話をした。
こうした立場による認識相違は組織階層に限った話ではない。第2回は、セキュリティシステムを利用するユーザー側とサービスを提供するベンダーの開発部門、さらにベンダーの運用部門の立場から、サイバー攻撃を防いだ後に発生する可能性がある「認識相違」について説明する。分かりやすくするため事例は「あえて極端な例」を挙げていることに留意してほしい。
想定通りにインシデントを未然に防いでいるのに…… なぜ「立場による認識相違」が発生するのか
多層防御やゼロトラストモデルなど被害を予防するセキュリティ対策によって、想定通りにサイバー攻撃を防御をしても、システム担当部門やCSIRT担当者にとって頭を抱えるケースがある。
今回の例は、Webサイトに悪意のあるファイルアップロード攻撃が実行されて、それをセキュリティシステムがブロックしたケースを想定する。Webサイトは、簡略化しているが「分散型サービス妨害(DDoS)攻撃」「ファイアウォール(FW)やIPS(不正侵入防止システム)、Web Application Firewall(WAF)」「サーバ自身のマルウェア対策」などの多層防御を実装しているものとする。サイバー攻撃に対する階層ごとの挙動は以下だ。
- DDoS対策:しきい値の超過などの異常がなく通過
- FWなどの対策:通常アクセスとみなされ通過
- マルウェア対策:不審なファイルのため駆除
今回のようなWebサイトにサイバー攻撃を受けた場合、マルウェア駆除検知がトリガーとなり、Webサイトの運用部門から開発部門のシステム担当に連絡が入る。システム担当は「サイバー攻撃を本当に防御できたかどうか」「他のシステムに攻撃を受けてないか」などの調査と並行し、自社の上席やユーザーである顧客にサイバー攻撃を受けた旨や対応方法について報告する、という流れが一般的だ。
現場のシステム担当からすれば、Webサイトのセキュリティ対策は想定通りに動いたため「大きな問題は発生しなかった」と考えるだろう。一方でサービス提供ベンダーの経営層やユーザーはどのように考えるだろうか。極端だがそれぞれの立場におけるサイバー攻撃の対処への反応を下図にまとめた。
現場のシステム担当者は、運用ルールに従ってユーザーに連絡しても「(想定通り機能したのであれば)夜中に電話をするな!」と怒られて、自社の経営層からは、リリース以前に報告していた通りの対策であるにもかかわらず「(多層防御のうち何枚かは破られているため)新たな対策を追加せよ!」や「攻撃を受けること自体を防げ!」など厳しい注文を受けることもあるだろう。そしてそのしわ寄せは、末端に位置するシステム運用部門に集まることも多い。読者の中には、立場にもよるが同様の経験をしている人も少なからず存在するのではないだろうか。
考え方は立場や企業に応じて異なる 分かり合えないならせめて
先に挙げた例での立場による見解の違いは、費用や契約の問題から生じることが多い。根本的な問題のため、関係者全員が納得するのは難しいかもしれない。
システム担当者は、自社の経営層の意見については経営としての高度な視点と真摯(しんし)に受け止めて、この事態を糧に運用部門と協力して運用の実態を踏まえた上で適正コストを見積もるなどいい意味での「鈍感さ」を持つべきだろう。
ユーザーに対しては次なる対策を提案する契機と捉え、今回のサイバー攻撃が不成立であっても今後は成立する可能性があるとして、インシデントの発生を想定したアドバイスを提言してもよい。プロとしてふるまい、ユーザーのさらなる信頼を勝ち取るように努めるべきだろう。