「ネットワークセキュリティの敗退」とデータ中心防御の必要性
サイバー物理攻撃、データの操作、それに内部不正。この15年間の教訓は何か? 松岡氏は「水際対策、ネットワークセキュリティの敗退」だとする。
「国や国に準ずる組織がその気になった場合、外からの侵入は防げないし、内部に“シンパ”(協力者)を作って内部不正をやられたら無理。国じゃなくても、ちょっと手が込んだことをされると、どんな防壁を境界線を作っても突破される」
松岡氏が導き出す結論はこうだ――「内部でのセキュリティ強化をしないと、境界線での防御は無理である」。
入口と出口の「境界防御」に加えて、データ暗号化などの「縦深防御」が求められている
考え方としては「縦深防御(多層防御)」と呼ばれるアプローチだが、従来のように「システム」ではなく「データ」を中心に据える点が異なる。
守るべき「データ」を中核にして、アプリケーション、ホスト、ネットワークと各層で防御を図るアプローチである。データの状態(格納時には暗号化やマスキングなど、伝送時には伝送路の保全やメタデータ管理・ラベル制御、利用時にはアイデンティティーアクセス管理など)に応じて、対策も変化させる必要がある。
システム中心ではなく「データ中心」の多層防御が必要、と松岡氏
米国防省が2014年に定めたクラウドセキュリティモデルも、データ中心の防御が考えられている。中心はデータセキュリティであり、アクセスセキュリティ、トランスミッション(伝送)セキュリティがあり、外周の物理的なセキュリティに至る。
「システムの一番奥でデータをしっかりと保護するためには、外側から順に守っていく。これまで各ノード毎に独立したオンプレミスのセキュリティを中心に考えてきたが、これからはネットワークセキュリティやノードのセキュリティを考える必要がある。これにデータセキュリティが加わるデータ中心の縦深防御が重要」
米国防省が考えるクラウドセキュリティも「データ中心の多層防御」だ
米軍が現在敷いているセキュリティ体制
松岡氏は、現状のサイバー攻撃は「ほとんど戦争のようなもの」だと述べた。「たまたま爆弾や砲弾が自分のシステムに落ちていないだけ。ある日落ちてきたら、やすやすと貫通されて、ごっそりとやられるだろう」。
