大変お世話になっております。
反逆する武士
uematu tubasaです。
初回投稿日時:2022年6月26日(令和4年6月26日)
サイバーセキュリティが重要なのは理解しているのだが
日本のサイバー防御が世界から取り残されている。
引用元:旧式サイバー防御、穴だらけ 「安全」すぐ時代遅れに
セキュリティー企業に対応を丸投げしたり、インターネットから切り離したシステムを過信したり――。
無防備な中小企業が狙われれば、サプライチェーン(供給網)に深刻な打撃を与える
昨今、中国やロシアなどの我が国日本にとっての仮想敵国からサイバー攻撃を受けております。
よほどの馬鹿ではない限り、サイバーセキュリティの重要性は理解できると思います。
ただ、私のような国益を踏まえて行動できるITエンジニアがサイバーセキュリティエンジニアになるためにはどうすればいいのか不透明なのです。
後述しますが、人材が不足しているのに、セキュリティエンジニアを目指すことが難しいとなると永遠に人材不足になるという危機的状況なのです。
ゼロトラストを信用してはならない
米グーグルが2020年に導入した最新鋭の防御手法「ゼロトラスト」。
引用元:旧式サイバー防御、穴だらけ 「安全」すぐ時代遅れに
社内ネットワークをセンサーなどで絶えず監視し、不審な行動や通信を発見する。
サイバーセキュリティの方法として「ゼロトラスト」という防御手法がございます。
防衛したい社内ネットワークをセンサーなどで絶えず監視し、不審な行動や通信を発見する手法です。
監視オペレーターを多数配置するか、それ専用のAIを開発しないと中々難しいと個人的には思っています。
さらに言えば、その「ゼロトラスト」も突破することが技術的に可能らしく完璧ではございません。
サイバー攻撃を仕掛ける側がどのような条件に合致したらアラートが鳴るのか熟知しているので、アラートを回避することが技術的に可能なのだそうです。
ゼロデイ脆弱性を容赦なく突いてくるだろう
修正ソフト配布前の脆弱性は、修正日を1日目として、その前という意味で「ゼロデイ」脆弱性と呼ばれる。
引用元:旧式サイバー防御、穴だらけ 「安全」すぐ時代遅れに
ゼロデイ攻撃では深刻な被害が起きる前にシステム停止などで攻撃を中断させる判断を迫られる。
失う利益や顧客への影響を理由にためらえば、その分リスクは高まる。
セキュリティソフトやOS(Operating System)のセキュリティ・パッチが当てられる前にその脆弱性を突くこともサイバー攻撃側は実施しております。
そうなってしまうと、サイバー攻撃を防ぐということは極めて困難なので「損切り」が必要です。
言い換えるならば、ダメージコントロールを行い、場合によってはシステム停止を実施してサイバー攻撃を遮断しなければなりません。
システム停止となれば、経済的損失が発生しますので、そのような決断を瞬時にできる人材を確保することが肝要なのですが、難しいと言わざるを得ません。
エアギャップも完全防御はできない
システムをインターネットにつながず隔離する対策「エアギャップ」を破る攻撃も相次ぐ。
引用元:旧式サイバー防御、穴だらけ 「安全」すぐ時代遅れに
日本の医療・福祉施設はシステムをこの手法で守るケースが多い。
病院や公共施設のシステムを外部のインターネットと接続せず、外部と隔離する対策のことを「エアギャップ」と言うらしいです。
外部インターネットからシステムネットワークに侵入することがそもそもできないわけですから、利便性は下がりますが、有効な対策だと思ってました。
ただ、実は保守用回線が外部とつながっていたり、職員が無断で持ち込んだUSBメモリーにマルウエアが潜んでいたり「エアギャップ」も突破されてしまう事象も発生しているとのこと。
おそらくシステムメンテナンスをするため、インターネットから情報を得ないと難しいということがあったのでしょう。
また、データ投入のためにUSBからデータを丸々コピーしないと生産性が極端に悪くなるので、USBをパソコンに差し込んでしまったと思われます。
ヒューマンエラー対策は必須と言えましょう。
人材不足なら金を出せ
NRIセキュアテクノロジーズ(東京・千代田)の調査では、日本企業の90.4%がサイバー人材の不足を訴える。
引用元:旧式サイバー防御、穴だらけ 「安全」すぐ時代遅れに
米国の12.9%を大きく上回っており、特に5割超が「戦略・企画を策定する人」が足りないと答えた。
サイバー経営人材の不足が深刻だ。
(中略)
日本企業の多くは人材を国内では数少ないセキュリティー企業からの転職に頼る。
転職組も職人気質で、管理職としての経験や教育が乏しいケースがあり、ほかの経営陣と折り合いをつけるのが難しい。
サイバーセキュリティエンジニアが不足している特に「戦略・企画を策定する人」が足りないらしいです。
はっきり申し上げて、サイバーセキュリティエンジニアがどれほど儲かるのか明確化されておらず、キャリアプランも不透明となると増えないでしょうね。
サイバーセキュリティ専門の企業から人材を招聘するのが主流らしいのですが、職人気質で管理職としての経験や教育が乏しいので、経営陣との折り合いが難しいようです。
要するに、人間としての癖が強いため、経営陣と喧嘩になってしまうので、コミュニケーションが難しいということです。
私の経験上、凄腕のエンジニアほど人間的に癖が強いですから納得です。
インテリジェンスこそ我らが全て
スレット(脅威)インテリジェンス
引用元:旧式サイバー防御、穴だらけ 「安全」すぐ時代遅れに
サイバーリスクを見極めるための情報収集活動。
最新の攻撃リポートなど公開情報だけでなく、スパイさながらに攻撃者集団に潜入するケースもある。
アノニマス内部に潜入するだけの力を持ったエンジニアがスパイ活動しないと厳しいのでしょうね。
完全に防衛的かつ受動的な姿勢に終始するのではなくて、積極的にサイバー攻撃側の手法を積極的に情報収集して先手を打つべきです。
以上です。