あなたのユーザーをセキュリティの脅威から守れますか?
クラウドやIoTの利用が広がる一方で、セキュリティの脅威が多様化、複雑化する現在。製品やサービスの選定時に機能面での比較検討に加え、ユーザーをセキュリティの脅威から守れるかどうかが重要なポイントとなってきており、製品やサービスを提供する側にも十分なセキュリティ対策が求められるようになってきています。
製品・サービスの提供側に問われるセキュリティ対策
社会や生活のインフラで使われている重要IoT機器において、残念ながら、多くの脆弱性が見つかっています。
総務省は、ICT-ISACや横浜国立大学などと連携し、2017年9月から2018年3月の間、サイバー攻撃観測網やネットワークスキャンを活用して、IoT機器の実態調査を行いました。
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000154.html
その結果、セキュリティ的に脆弱なIoT機器が150件見つかり、そのうちコンタクトが取れた36件に対して、注意喚起を行っています。いずれのケースについても、セキュリティの脅威に対する認識が十分ではなく、所有者、利用者、運用者、導入者、製造者といった多様な関係者間での、責任の所在が明確になっていなかった、とのことです。
脆弱性が見つかったIoT機器所有者への注意喚起に加え、必要に応じて、製造事業者に対しても、リスクに関する技術情報の提供を行っています。
この実態調査はIoT機器が対象でしたが、SaaSやアプリケーションソフトの開発、提供事業者にも、セキュリティ対策は求められています。
クラウドやIoT利用の広がりを受けて、総務省は、2014年に作成した『クラウドサービス提供における情報セキュリティ対策ガイドライン』を改定し、第2版を発表する予定です。
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000149.html
改定のポイントは、クラウド事業者がIoTサービスに参入する際に、注意すべきリスクや対策のためのガイドラインを示すことにあります。サービスを提供する側が、意識すべきセキュリティ対策に着目した内容となっています。
セキュリティ機能を付加した製品・サービスを作るには
製品やサービスを提供する側で行うセキュリティ対策には、設備や情報システム環境や、運用プロセスなどを対象に、様々なアプローチがありますが、提供する製品やサービスそのものにセキュリティ機能を組み込む、という方法があります。
セキュリティ脅威は刻々と進化し、そのための情報や対策を常にアップデートしていかなければなりません。時間も労力もかかる情報収集や分析には、外部のセキュリティ専門家による「セキュリティ情報サービス」を活用するのが効果的です。
さらに、複数のセキュリティ情報を統合した中から、新たな脅威に関する知見を得て、セキュリティ対策に活用する取り組みである「脅威インテリジェンス(Threat Intelligence)」を活用することで、高度なセキュリティ機能を実現することも可能です。
取り込むべき「セキュリティ情報サービス」には、世界中の通信から悪意のあるIPアドレスやサイトを分析する「IPレピュテーション」、フィルタリングすべきURL情報を分析する「URLフィルタリング」などがあります。
「マルウェア情報」や「スパム情報」も活用したいセキュリティ情報です。世界中で、新種のマルウェアや、新しいパターンのスパムが次々と生まれているため、常に最新情報を収集、分析し、対策を打っていく必要があるからです。
世界中から集められたセキュリティ情報を、自社向け開発システムに組み込んだり、自社製品やサービスに取り込んだりして活用するには、セキュリティSDK(ソフトウェア開発キット)を使う方法があります。
SDKを使うメリットは、自社の製品やサービスに、高度なセキュリティ機能を容易に組み込んで一体化できる点にあります。つまり、既存の製品やサービスを、「セキュリティ情報サービス」や「脅威インテリジェンス」の機能を備えた姿に進化させることによって、自社製品やサービスのユーザーを、セキュリティ脅威から守れるようになるわけです。
具体的には、自社のメールシステムにアンチスパムを組み込む、自社が販売するセキュリティ製品にURLフィルタリング機能を追加する、社員が業務で使うモバイルデバイスでマルウェアのダウンロードを防止する、などが可能となります。
セキュリティSDK選択のポイント
セキュリティ情報サービスを、自社製品やサービスの強力な付加価値とするためには、以下のようなポイントを考慮して選択するとよいでしょう。
・多くの実績を持つ企業が提供している
一方、新しいセキュリティ機能を搭載したい場合は、新進気鋭のベンチャーがSDKを提供しているケースも少なくありません。SDK提供企業の過去の実績を参照すると同時に、最新機能を実装できるSDKが必要かどうかも、合わせて検討するのがよいでしょう。
セキュリティの脅威は、国に関係なく世界中で立ち現れます。セキュリティ情報サービスを提供する企業には、グローバルレベルでの情報収集力と情報分析力が求められます。
自社製品やサービスのマーケットにもよりますが、日本がその中心に位置付けられているならば、グローバルレベルでの情報収集力や分析力に加えて、日本で発生する傾向が高いセキュリティ脅威の情報にも強い、セキュリティ情報サービスであることも、重要な選択ポイントになります。
セキュリティ対策には、スピードが重要です。情報収集から対策を行うまでの時間が短ければ短いほど、万一の場合も被害の広がりを抑え込むことができます。
自社の製品やサービスに合ったセキュリティ機能に絞って組み込んだり、のちに新しいセキュリティ機能を追加したりといった組み込み、変更のしやすさは、SDKを選択する上で考慮したいポイントです。
たとえば、組み込みたいセキュリティ機能がモジュラー構造になっていれば、必要な機能を選んで組み込んだり、のちに変更したりするのが容易となるでしょう。
セキュリティ機能に限らず、SDKの利用にあたっては、基本的なプログラミングの知識、経験が求められます。開発した後も、必要に応じて変更対応していく必要があります。自社が得意とする開発言語に対応しているSDKを選択することができれば、既存のプログラミングスキルが活用できます。
逆に言えば、SDKを使いこなすための開発スキルも、合わせて確保する必要がある点に留意する必要があります。
SDKを使ってセキュリティ機能を実装するための、技術情報を入手しやすい、あるいは、開発上の問題に直面した際の問い合わせ窓口や、開発者同士の情報共有が活発なテクニカルコミュニティがある等の、開発環境の充実度も選定のポイントになります。
複数のセキュリティ情報や、分析結果を参照して、包括的なセキュリティ対策を検討しやすい環境が利用あれば、高度な「脅威インテリジェンス」を実現することができます。
そのためには、SDKで個々のセキュリティ機能を実装することに加えて、そこから集められた様々なセキュリティ情報をデータベースとして一元化し、様々な切り口から参照、検討できるビュー(画面)が用意されている、などのセキュリティ管理プラットフォームが活用できることも、SDK選択において考慮するとよいでしょう。
自社製品・自社サービスのユーザーを守る
ここでは、セキュリティSDKを使って、高度なセキュリティ情報サービスを自社製品やサービスに組み込むことができること、それが付加価値となり、差別化要因となりうることをご紹介しました。
製品やサービスの提供者は、本来の製品やサービスの価値をユーザーが十分に享受できるよう、セキュリティ脅威からユーザーを守ることは、付加価値として注目されるだけでなく、将来的には必須要件として捉えられていく可能性もあるでしょう。
「セキュリティ情報サービス」、「脅威インテリジェンス」と連携した製品やサービスが、セキュリティの脅威からユーザーを守る方法を、今から検討し始めましょう。