最近、業界の知人と少し話題になったのが「今はCSIRTバブル」ということでした。まあ、確かにセキュリティ事故も報道される件数も多くなってきており、事故対応が必要だね、ということでCSIRTの必要性も認識されてきているのは良いことではあると思うのです。

ただ、それが「バブル」状態であるなら、「なんだかなぁ」と思ったりするのです。

何故バブルなのか?

経済用語としてのバブル、もしくは、バブル経済の正確な意味はWikipediaにでも任せるとして、最近CSIRTという単語はよく見ますし、仕事においてもそういった部分のコンサルティングの仕事のお話もあります。

ただ、その筋の人と話をすると、CSIRTとして「きちんと機能している」CSIRTがどれだけあるか?といったらそれほど多くはなく、従来からセキュリティ意識の高い企業が今までのセキュリティ対策の延長or強化で行っているか、大企業のようにセキュリティ専任の人員を配置できるところが中心のようです。

そういった意味では、CSIRTを兼任でも何でも体制はつくって、実際のCSIRTに求められる機能や業務の実施、運営といった重要な部分がおざなりになっている、という話を聞きます。つまりは、見せかけであっても形はあるが中身がない、バブルの状況という事なのでしょう。

そして、私が「なんだかなぁ」と思うのは、結局バブルが繰り返されているからなのです。

繰り返される「セキュリティ・バブル」

セキュリティ業界においては、大小含めて「セキュリティ・バブル」がありました。

大きなバブルとしては、個人情報保護法の施行に伴うプライバシーマーク認定バブル、官公庁の調達基準に関連してのISMS認証バブル、J-SOX(金融商品取引法)に伴うIT内部統制バブル。小さなものとしては、大きな事故が発生した時にその原因への対策の周辺のバブルがあり、SQLインジェクション対策バブル、ログ取得・管理バブル、標的型攻撃バブルなどがあったと思います。また、業界別でもその業界での基準や事故を起因としたバブルっぽいものがあり、クレジットカード業界におけるPCI DSSバブル、官公庁・地方公共団体におけるセキュリティ対策基準バブル、などが小さなものとしてはあったと思います。

セキュリティ業界でいうと、これらの流行があったわけです。ただ、これらをバブルと呼ぶのは、その後の実態がどうなのか?というところがあるからなのです。

セキュリティ・バブルの結果

プライバシーマーク認定やISMS認証はいろんな企業で取得されています。そして、それらの取得企業においては、セキュリティ対策がきちんと行われていると見なされていたりします。しかし、取得企業においても個人情報漏洩やセキュリティ事故は発生します。事故をゼロ件にするのは不可能なのですが、それらの事故の原因を聞いてみると専門家の見地から「これは発生してもしょうがないな」という事故はほとんどなく、「なんで、そんな基本的なこともやってないの?」といった原因での事故が多いのです。

たとえば、「SQLインジェクション等の脆弱性が放置されていた」、「管理者のパスワードとして、デフォルトパスワードが設定されていた」、「アラートが複数回出ていたが誰も見ていなかった」、などなど。これらは、セキュリティの運用をきちんとしていれば、十分に防げたはずのものなのです。ところが、認定・認証を取得してはいるもののきちんとした運用をしていないため、起こった事故と言えるのです。また、世間的に大きく報道された事故の中にもこれらの認定・認証取得企業があったりします。

また、J-SOX関連のIT内部統制に関しても、施行時には大騒ぎしましたが、現在は「骨抜き」になっているところも多いかと思うのです。

このように、バブルの時に形だけ整え、その後の運用こそが重要であるにも関わらず、きちんと運用がされていない、認定・認証の維持の活動だけが表面的に行われているという実態になってしまっていると考えられます。

そのため、セキュリティ・バブルが手を変え品を変え、繰り返されているような気がするのです。

ちなみに、「これは発生してもしょうがないな」という事故の例だと、いわゆる「ゼロ・デイ」と言われる「未知の脆弱性への攻撃」や「未知のマルウェアへの感染」、「海外での強盗によるPCの盗難」、「年間数千万件のメールをやり取りするコンタクトセンターにおける数十件(確率に直すと十万分の一とか)のメール誤送信」といったものかな?と思っています。その意味では「残留リスク」の部分と言ってもよいかと思います。

セキュリティ・バブルではなくすために

もちろん、きちんと運営しているところもあります。でも、きちんと運営できていないところもあります。「きちんと運営できていない」という自覚があるところはましかもしれません。そういった自覚がなく、「認定・認証が維持できていれば十分」のような考えの所も多いのが実態です。

そういったところを少なくしていく必要があるのですが、なかなか一筋縄ではいかないのが悩みどころです。「セキュリティ事故が適度に起これば、きちんとやるんだろうけどね」という冗談・本音どちらともとれる意見もあったりします。個人的には「知らないものは納得できないし、判断できない」わけですから、経営者から一般社員・消費者まで含めて、情報セキュリティに関する知識と理解がもっと必要なのかなぁ、と思っていたりします。

NANAROQ株式会社セキュリティ・エグゼクティブ・ディレクター
中島浩光