ニュース
» 2017年12月19日 07時19分 公開

「ひとりCSIRT」へのエール、企業にはセキュリティの管理系人材が欠かせない (1/2)

金融ISACの鎌田専務理事は、もはやIT部門だけに頼るサイバーセキュリティは限界があると警鐘を鳴らす。体系的、網羅的な視野で対策を企画し、非常時には司令塔となる管理系人材はアウトソースが難しく、企業にとっては欠かせない存在だ。

[浅井英二,ITmedia]
鎌田敬介 金融ISAC専務理事

 「サイバーセキュリティをIT部門だけに頼るのは限界がある」──多くの日本企業がサイバーセキュリティ対策を情報システム部門に任せている現状にこう警鐘を鳴らすのは、金融ISAC(Information Sharing and Analysis Center)で専務理事を務める鎌田敬介氏だ。

 「サイバーセキュリティは、新たなコーポレートリスクであり、技術だけの問題ではない。サイバー攻撃に組織的に対応しようとすれば、IT以外の仕事の方がずっと多いからだ」と鎌田氏。彼はこの10月、企業や組織の管理者向けに「サイバーセキュリティマネジメント入門」(金融財政事情研究会)を出版したばかりだ。

「サイバーセキュリティマネジメント入門」(金融財政事情研究会)

 サイバーセキュリティ対策は、これまでソフトウェアの脆(ぜい)弱性を塞いだり、個人情報の漏えいを防いだりすることが主流だったが、今や物理的な犯罪の主戦場がサイバー空間に移行しており、様変わりしてしまった。プロの犯罪集団がさまざまな手段を準備し、用意周到に攻撃を仕掛けてくる。国家が関与しているとみられる攻撃さえある。インターネットに接続された膨大な数のIoT機器を乗っ取り、一斉に攻撃を指示するDDoS攻撃も桁違いに激しさが増している。もはや「100%防ぐセキュリティ対策」は幻想にすぎない。

 鎌田氏は、「ランサムウェアの教訓からも学べるが、攻撃者は最もセキュリティ対策の甘い、例えば海外の拠点を突いてくる。侵入されることを前提とし、早期に検知して被害を最小限に食い止め、短期間で復旧させる組織体制が求められる。企業は、ITの管理ではなく、リスク管理、危機管理として体系的かつ網羅的なアプローチを取る必要がある」と話す。

「経営」「管理」「現場」の三層構造で推進

 体系的、網羅的なサイバーセキュリティ対策の在り方として参考にすべきものの一例として米国立標準技術研究所(NIST)の「サイバーセキュリティフレームワーク」がある。サイバーセキュリティ対策の業界標準やベストプラクティスをまとめたもので、経営レベルでのリスク洗い出しと優先順位付け、それに基づいた管理レベルでのリスク管理と対策推進、現場レベルでの対策と運用が、モデルとして描かれている。日本企業が取り込むべきは、この三層構造、つまり「経営」「管理(企画)」「現場(技術)」で推進するという考え方だと鎌田氏は指摘する。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

「ITmedia エグゼクティブ」新規入会キャンペーン実施中!!

「ITmedia エグゼクティブ」新規入会キャンペーンを実施中。ご入会いただいた方の中から抽選でお2人に、今話題のBose肩のせスピーカー/ソニー完全ワイヤレスイヤフォンが当たります! この機会にぜひご入会ください!!
【入会条件】上場企業および上場相当企業の課長職以上

ピックアップコンテンツ

- PR -
世界基準と日本品質を極める Clients First with Innovation & Japan Quality

アドバイザリーボード

早稲田大学商学学術院教授

根来龍之

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

株式会社CEAFOM 代表取締役社長

郡山史郎

株式会社プロシード 代表取締役

西野弘

明治学院大学 経済学部准教授

森田正隆