プロフィール
ミアミン
ホワイトハッカーを夢みて、セキュリティアカデミーでお勉強中のミーアキャット。心配性でやさしい性格で、「みんな無事ミア?」「危険はないミア?」が口癖。ちょっとしたことですぐに「キャッ!」と動揺しがち。
目崎 匠
2007年5月入社でユービーセキュアの設立メンバー。主にWebアプリケーション診断や診断スキルトレーニングを約10年経験。診断ツール「Vex」のプリセールスを経て現在は脆弱性管理ソリューションのプリセールス、ポストセールスチームを統括。セルフSMを趣味としています。
そもそも「セキュリティ対策」とは?
目崎さんはじめまして!これからセキュリティアカデミーで勉強することになりました、「ミアミン」です。ホワイトハッカーになるために学ぶことにしたのはいいけれど、そもそもセキュリティ対策ってどういうことか、ちゃんとわかっていない気がするミア……。
目崎さん
長らく日本では「水と安全はただ」といわれ続けてきましたからね。でも、その様子も生活様式の多様性や物理とサイバーが融合しつつある現代社会では、過去のものになりつつあるといえるでしょう。
私たちは仕事でも私生活でも、自分や家族の身を守る施策や考え方を身に付けておかなければならない、そんな時代に突入しているんじゃないかな。
「身を守るための施策」と聞くと、なんだか難しそうミア……。
目崎さん
実はそれが「セキュリティ」という言葉なんです。一言で「セキュリティ」と言っても脅威は多岐にわたり、それらに対抗するための対策も多種多様です。
「多種多様な対策」で対抗しなきゃいけないなんて、できるか心配ミア……。
目崎さん
まずは「心配する気持ち」があれば大丈夫!今回は、分野別のセキュリティ対策を理解し、「自分が必要とするセキュリティ対策はどこに当てはまるのか」「必要なときに何をキッカケに探せばよいのか」の道しるべとなるように進めていきましょう。
セキュリティ対策の「道しるべ」を確認しよう
「分野別のセキュリティ対策」ということは、セキュリティにもいろいろ種類があるミア?
目崎さん
そうなんです。まずセキュリティ対策は、大きく分けて物理セキュリティと情報セキュリティに分類されます。ユービーセキュアでは情報セキュリティを中心にさまざまな対策を提供しているので、物理セキュリティに関しては概略のみの説明になってしまうのだけれど……。今回の目的は、道しるべの確認ですからね。どんなセキュリティ対策があるかをザッと並べてみましょう。
- 物理セキュリティ
- データセンターの立地条件
- 監視カメラや警備員による施設の常時監視
- アクセスコントロールシステムの導入(身元確認、カードキー、生体認証など)
- サーバールームの物理的な保護
- 外部記憶媒体(USBやメモリーカードなど)の利用規則と制限
- 情報セキュリティ
- ネットワークセキュリティ
- イントラネットとインターネットの分離
- ファイアウォールによる不正アクセスの防止
- ネットワーク監視ツールによる不審なトラフィックの検出と対策
- OS(WindowsやLinuxなど)の更新管理
- ミドルウェア(Web、DNS、メールなどの機能別のアプリ)の更新管理
- 各ツールやアプリの設定状態の確認
- アプリケーションセキュリティ
- 設計時における安全な認証と認可プロセスの確立
- 暗号技術の活用
- 権限ポリシー
- セキュアコーディングガイドラインの遵守
- セキュリティコードレビュー
- 脆弱性スキャン
- アプリ監視ツールによる不審なトラフィックの検出と対策
- 各ツールやアプリの設定状態の確認
- クラウドセキュリティ
- クラウドサービス利用約款の把握
- クラウドサービスプロバイダーのセキュリティ機能の活用
- マルチファクター認証の導入
- クラウドデータのバックアップと災害復旧計画
- 各クラウドサービスの設定状態の確認
- ユーザー教育と意識向上
- セキュリティガバナンスの策定と浸透
- 定期的なセキュリティ研修とシミュレーション
- フィッシング攻撃などの詐欺に対する警戒心の育成
- セキュリティポリシーと手順の徹底
- コンプライアンスと法規制
- プライバシー保護とデータ保護法(GDPRなど)の遵守
- 業界固有のセキュリティ基準(PCI DSSなど)への対応
- 情報の分類とそれに応じた保護措置の実施
- 監査とレポーティングの体系の構築
- インシデントレスポンス
- セキュリティインシデント発生時の対応プロトコル
- インシデント後のフォレンジックと原因分析
- 従業員へのセキュリティインシデント対応研修
- エンドポイントセキュリティ
- 個々のデバイスへのセキュリティソフトウェアの導入
- モバイルデバイス管理(MDM)の利用
- パッチ管理とアップデートの厳格な適用
キャッ!こんなにたくさんあるんですね。それに「ガバナンス」、「インシデント」……聞いたことはあっても、はっきりとは知らない言葉がいくつもあるミア。
目崎さん
心配になってしまったかな?でも今は「たくさんあるんだな」ということがわかっていればOK。これから学んでいけば、それぞれの組み合わせ方などから覚えられますよ。
まず「自分たちが取り組むべき課題」を把握しよう
なるほど、つまりセキュリティ対策は「組み合わせる」ものということミア?
目崎さん
いい質問ですね!そうなんです。これらのセキュリティ対策は、互いに連携して機能することで、たくさんの要素が重なり合った防御体系を形成します。それぞれのビジネスに最適な対策を選択し、組み合わせることで、包括的なセキュリティ戦略を築くことができます。
セキュリティ対策は多岐にわたります。自分たちが取り組むべき課題がどの領域なのかを把握してから、さまざまな対策の調査に進むことが大切なんですよ。
そういえば防災対策でも、まずハザードマップを見て、地震・台風・大雨などの「どのリスクが大きいか」を確認しますね。セキュリティも似ているミア!
目崎さん
そうですね。このアカデミーでは、みなさんが調査、検討を進めるうえで大切な「そもそも自分たちが取り組むべき課題とは何か?」を見つけやすいように説明していきます。学んでいく中で、何のための対策なのか、どんなときに採用するのか、どんな注意点があるかを把握できるようになってくださいね。
ちょっと心配だったけど、どんどんやる気が出てきたミア。今日はいろいろ教えてくれてありがとミア!
