「ひとりCSIRT」へのエール、企業にはセキュリティの管理系人材が欠かせない(1/2 ページ)
金融ISACの鎌田専務理事は、もはやIT部門だけに頼るサイバーセキュリティは限界があると警鐘を鳴らす。体系的、網羅的な視野で対策を企画し、非常時には司令塔となる管理系人材はアウトソースが難しく、企業にとっては欠かせない存在だ。
「サイバーセキュリティをIT部門だけに頼るのは限界がある」──多くの日本企業がサイバーセキュリティ対策を情報システム部門に任せている現状にこう警鐘を鳴らすのは、金融ISAC(Information Sharing and Analysis Center)で専務理事を務める鎌田敬介氏だ。
「サイバーセキュリティは、新たなコーポレートリスクであり、技術だけの問題ではない。サイバー攻撃に組織的に対応しようとすれば、IT以外の仕事の方がずっと多いからだ」と鎌田氏。彼はこの10月、企業や組織の管理者向けに「サイバーセキュリティマネジメント入門」(金融財政事情研究会)を出版したばかりだ。
サイバーセキュリティ対策は、これまでソフトウェアの脆(ぜい)弱性を塞いだり、個人情報の漏えいを防いだりすることが主流だったが、今や物理的な犯罪の主戦場がサイバー空間に移行しており、様変わりしてしまった。プロの犯罪集団がさまざまな手段を準備し、用意周到に攻撃を仕掛けてくる。国家が関与しているとみられる攻撃さえある。インターネットに接続された膨大な数のIoT機器を乗っ取り、一斉に攻撃を指示するDDoS攻撃も桁違いに激しさが増している。もはや「100%防ぐセキュリティ対策」は幻想にすぎない。
鎌田氏は、「ランサムウェアの教訓からも学べるが、攻撃者は最もセキュリティ対策の甘い、例えば海外の拠点を突いてくる。侵入されることを前提とし、早期に検知して被害を最小限に食い止め、短期間で復旧させる組織体制が求められる。企業は、ITの管理ではなく、リスク管理、危機管理として体系的かつ網羅的なアプローチを取る必要がある」と話す。
「経営」「管理」「現場」の三層構造で推進
体系的、網羅的なサイバーセキュリティ対策の在り方として参考にすべきものの一例として米国立標準技術研究所(NIST)の「サイバーセキュリティフレームワーク」がある。サイバーセキュリティ対策の業界標準やベストプラクティスをまとめたもので、経営レベルでのリスク洗い出しと優先順位付け、それに基づいた管理レベルでのリスク管理と対策推進、現場レベルでの対策と運用が、モデルとして描かれている。日本企業が取り込むべきは、この三層構造、つまり「経営」「管理(企画)」「現場(技術)」で推進するという考え方だと鎌田氏は指摘する。
Copyright © ITmedia, Inc. All Rights Reserved.