私はセキュリティの専門家ではありませんが、SRE として様々なお客様に対して「運用者」としてセキュリティ対策に取り組んできました。
今はセキュリティツールを提供する事業者の立場になりましたが、今回はこれまでの経験を踏まえてセキュリティへの向き合い方についての思いをまとめてみたいと思います。
セキュリティ対策を行う我々は常に敗者である
一般的に言われている事ではありますが、基本的に、攻撃者は防御側に比べて圧倒的に有利な立場にあります。
攻撃者はたった一つの弱点を見つければ目的を達成できます。一方で、防御側は複数の層にわたる包括的な対策が必要となります。物理的なセキュリティから始まり、ネットワークインフラストラクチャ、アプリケーションレイヤー、そして人的セキュリティまで、すべての層において想定される脆弱性を検討し、適切な対策を講じなければなりません。
さらに決定的な違いは、時間の使い方にあります。攻撃者は十分な時間をかけて入念に準備を行うことができます。対して防御側は、24 時間 365 日、常に警戒を継続する必要があります。
この時間的な非対称性により、防御側は常に不利な立場に置かれています。攻撃者が最も脆弱な瞬間を狙って攻撃を仕掛けられるのに対し、防御側は常に万全の態勢を維持しなければなりません。一瞬の隙も許されない継続的な警戒が求められる中で、この非対称な関係は防御側にとっては非常に辛い側面ではないでしょうか。
現実的なセキュリティアプローチ:完璧な対策の不可能性
セキュリティ対策において最も重要な前提は、完璧な防御が存在しないという現実を受け入れることです。この認識は、システムを取り巻くすべての関係者が共有すべき基本的な考え方です。
エンジニアはもちろんのこと、経営判断を行う立場の方々、そして私たちのようなセキュリティソリューションを提供する事業者まで、すべての関係者がこの現実と真摯に向き合う必要があります。セキュリティツールを提供する立場として、この事実を認めることは一見すると矛盾するように思えるかもしれません。しかし、システムの完全な安全性を約束することは、技術的にも現実的にも不可能なのです。
この不可能性は、システムを取り巻く様々な要因から生じています。細部まで深く対策を施したシステムであっても、新たなゼロデイ脆弱性の発見により、瞬時にして新たな脅威にさらされる可能性があります。攻撃者が付け入る隙は、予期せぬ形で常に存在し続けるのです。
さらに注目すべきは、深刻な情報セキュリティインシデントは必ずしも高度な攻撃によってのみ引き起こされるわけではないという点です。些細な設定ミスや、短期間のセキュリティパッチ適用の遅れといった、日常的な運用上の問題でも、重大な情報漏洩につながる可能性があります。
このような現実を踏まえると、セキュリティ対策の本質は、完璧な防御の追求ではなく、組織にとって受容可能なレベルまでリスクを低減することにあります。これは決して妥協や諦めを意味するものではなく、むしろ現実的かつ効果的なセキュリティマネジメントの在り方を示唆しています。
イタチごっこをし続けないといけない
セキュリティの世界では、新たな脅威が絶え間なく出現します。組織はその都度、これらの脅威が自社にもたらす潜在的な影響を慎重に評価し、適切な対応を講じていく必要があります。この継続的な対応の必要性は、セキュリティ対策の本質的な特徴となっています。
サイバーセキュリティの分野では、防御側の新たな対策に対して攻撃者が新しい手法を編み出し、それに対してまた新たな防御を構築するという循環が続きます。
一方でこれは決して防衛を諦める理由にはなりません。むしろ、この継続的な進化こそが効果的なセキュリティ対策の要となるのです。
重要なのは、攻撃者の視点に立った防御戦略の構築です。攻撃者がどのようにシステムを見て、どのような手法を用いる可能性があるのかを常に想定しながら、防御のプロセスを確立し、改善し続けることが求められます。この視点の転換により、より効果的な防御体制を構築することが可能となります。
効率的なセキュリティマネジメントの実現:Securify の取り組み
これまで述べてきたセキュリティ対策の課題に対して、私たちは具体的なソリューションを提供したいと考えています。そこで誕生したのが、継続的なセキュリティ対策を効率的に実現するプラットフォーム、Securify(セキュリファイ)です。
セキュリティ対策の完璧な実現が不可能であるからこそ、持続可能な取り組みが重要となります。しかし、その継続的な取り組みが組織にとって過度な負担となってはなりません。
私たちの目指すのは、セキュリティ対策の本質的な課題に向き合いながら、その実施プロセスを可能な限り効率化することです。これにより、組織は限られたリソースを最も重要な課題に集中させることが可能となります。
Securify は現在も進化を続ける発展途上のプラットフォームです。しかし、私たちのビジョンは明確です。より多くの組織が、最小限の労力で効果的なセキュリティ対策を継続的に実施できる世界の実現を目指しています。
特に重要視しているのが、「攻撃者視点での先回りのセキュリティ対策」という考え方です。この独自のアプローチにより、より効果的な防御戦略の構築が可能となります。
この考え方の背景には、実際のセキュリティ運用現場での経験が活かされています。次回以降、この経験に基づいた具体的な知見と、それがどのように Securify の開発方針に反映されているのかについて、詳しく解説していく予定です。
