金融ISACの鎌田専務理事は、もはやIT部門だけに頼るサイバーセキュリティは限界があると警鐘を鳴らす。体系的、網羅的な視野で対策を企画し、非常時には司令塔となる管理系人材はアウトソースが難しく、企業にとっては欠かせない存在だ。
「サイバーセキュリティをIT部門だけに頼るのは限界がある」──多くの日本企業がサイバーセキュリティ対策を情報システム部門に任せている現状にこう警鐘を鳴らすのは、金融ISAC(Information Sharing and Analysis Center)で専務理事を務める鎌田敬介氏だ。
「サイバーセキュリティは、新たなコーポレートリスクであり、技術だけの問題ではない。サイバー攻撃に組織的に対応しようとすれば、IT以外の仕事の方がずっと多いからだ」と鎌田氏。彼はこの10月、企業や組織の管理者向けに「サイバーセキュリティマネジメント入門」(金融財政事情研究会)を出版したばかりだ。
サイバーセキュリティ対策は、これまでソフトウェアの脆(ぜい)弱性を塞いだり、個人情報の漏えいを防いだりすることが主流だったが、今や物理的な犯罪の主戦場がサイバー空間に移行しており、様変わりしてしまった。プロの犯罪集団がさまざまな手段を準備し、用意周到に攻撃を仕掛けてくる。国家が関与しているとみられる攻撃さえある。インターネットに接続された膨大な数のIoT機器を乗っ取り、一斉に攻撃を指示するDDoS攻撃も桁違いに激しさが増している。もはや「100%防ぐセキュリティ対策」は幻想にすぎない。
鎌田氏は、「ランサムウェアの教訓からも学べるが、攻撃者は最もセキュリティ対策の甘い、例えば海外の拠点を突いてくる。侵入されることを前提とし、早期に検知して被害を最小限に食い止め、短期間で復旧させる組織体制が求められる。企業は、ITの管理ではなく、リスク管理、危機管理として体系的かつ網羅的なアプローチを取る必要がある」と話す。
体系的、網羅的なサイバーセキュリティ対策の在り方として参考にすべきものの一例として米国立標準技術研究所(NIST)の「サイバーセキュリティフレームワーク」がある。サイバーセキュリティ対策の業界標準やベストプラクティスをまとめたもので、経営レベルでのリスク洗い出しと優先順位付け、それに基づいた管理レベルでのリスク管理と対策推進、現場レベルでの対策と運用が、モデルとして描かれている。日本企業が取り込むべきは、この三層構造、つまり「経営」「管理(企画)」「現場(技術)」で推進するという考え方だと鎌田氏は指摘する。
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授