「それは要りません」と言える人を、一人持っておく
セキュリティ対策はやろうと思えばいくらでもお金をかけられます。重要なのは、システムのリスクに見合った対策を選ぶこと。不要な対策を不要だと言える判断軸を整理します。
セキュリティ対策はやろうと思えば、いくらでもお金をかけられます。
ツールを増やし、監視を厚くし、認証を強化し、ネットワークを細かく分割する。それぞれに意味はあります。ただ、無限に積み上げることが正解ではありません。
実装を提案する側に立つ立場で大切にしているのは、「それは要りません」と言えることです。
基準がないから、判断が難しい
セキュリティ対策を難しくしている最大の理由は、「このシステムにはこのレベルの対策が必要」という明確な基準がないことだと思っています。
医療や金融のように法的な規制がある分野は別ですが、多くのシステムには「ここまでやれば十分」という公式な基準がありません。ベンダーはより手厚い製品を売りたいので「万全を期すなら」という方向に話が進みやすい。恐怖マーケティングも機能しやすい業界です。
私自身も、システムの重要度に対して「もう少し頑張ってほしい」という感覚はあります。ただ、それを明確な数値や基準として言語化することは正直難しい。この曖昧さが、対策の過剰と過少の両方を生む土壌になっています。
私が使う判断軸
明確な基準がない中でも、判断するときに意識していることがあります。
扱っている情報の性質。個人情報、医療情報、決済情報——これらを扱うシステムは、漏洩したときの影響が大きいため、対策の水準も上がります。逆に、公開情報しか扱わないシステムに高度な暗号化や多層認証を入れても、守るべきものとコストが釣り合いません。
攻撃が成功する確率。どんな経路から、どんな攻撃者が、どれくらいの労力をかけて侵入しようとするか。標的型攻撃で本気で狙われる組織と、自動スキャンに引っかかるリスクだけを考えればいい組織では、必要な対策の水準が変わります。
漏洩・侵害が起きたときの実際の被害規模。業務が止まるか、データが流出するか、賠償が発生するか。被害の深刻さに見合った対策費用かどうかを考えます。
「要らない」と感じる典型例
「ログを定期的に確認する」という監査要件
セキュリティ監査でよく要求されるのが「ログを月次・週次で確認すること」です。書面上は対策しているように見えますが、実際には機能しません。
仮にログを毎週見ていても、不正侵入に気づくのは最長で1週間後です。1ヶ月単位だと、気づいたときにはとっくに被害が広がっています。ランサムウェアの世界では数日で全社が暗号化される時代に、「定期確認」は時間軸が合っていません。
意味のあるログ監視は、AWSのGuardDutyのようにリアルタイムで異常を検知し、自動通知が飛ぶ仕組みです。「定期的に目で見る」運用は、書類上の安心感だけが残り、実効性はほとんどありません。これは要らない、というより入れても守れない対策の典型です。
利用者にはMFA、運用用サーバーは全世界から接続可能
これもよくある光景です。利用者ログイン画面にはMFAをしっかり入れている一方で、運用保守用のサーバーが 0.0.0.0/0(全世界からアクセス可能)で開いている。表玄関には鍵を3つかけているのに、裏口は開けっ放し、という状態です。
攻撃者は強い場所を避けて、弱い場所から入ります。利用者MFA(多要素認証:パスワードに加えて別の確認手段を組み合わせる仕組み)より先にやるべきは、運用接続を社内IPやVPN(社外から社内ネットワークに安全に接続する仕組み)経由に絞ることです。順番が逆になっている対策は、コストをかけたつもりで実は守れていません。
逆に「これは最低限」と思う対策
「要らない」の対比として、コストパフォーマンスが圧倒的に良いものを一つ挙げます。
通信元の地域制限(geolocationブロック)
クラウドサービスでは、特定の国・地域からのアクセスを設定数クリックで遮断できます。日本国内向けサービスなら、海外からのアクセスを最初からブロックするだけで、攻撃の試行回数が大きく減ります。
完璧ではありません。VPN経由の攻撃は防げません。ただ、コストはほぼゼロで、自動スキャンや海外発の侵入試行に対する効果は大きい。これは入れない理由がない対策です。
MFAの選び方の記事でも書きましたが、対策には常に「自分の状況に対して見合っているか」という問いがついて回ります。
経営者が覚えておいてほしいこと
セキュリティの提案を受けたとき、「これは本当に必要か」と聞く権利があります。
「万が一のために」「業界標準では」「これを入れないとリスクが」——こうした説明が続くとき、それが自社のシステムの実態に基づいた判断なのかを確認してください。どんな攻撃を想定しているか、自社が扱う情報の性質に合っているか、コストに見合う効果があるか。
対策を積み上げるだけでなく、不要なものを削ぎ落とす判断もできる人間を、一人信頼できる相手として持っておくことが、長く適切なセキュリティを維持するために大事だと思っています。