ニュース
» 2021年06月29日 07時00分 公開

情報セキュリティ委員会、CSIRT、SOCがワンチームで対応するのが情報セキュリティの肝――ラック、ダイドーグループHD 喜多羅滋夫氏ITmedia エグゼクティブセミナーリポート(2/2 ページ)

[山下竜大,ITmedia]
前のページへ 1|2       

(3)システム環境への適切な更新プログラム適用

 更新プログラムの適用では、システムやサービスの対応状況を一覧で明記したリストを作成。社内には、さまざまなインフラやシステム、サービスがあるので、各サービスの主要な因子である環境やビジネスオーナー、ユーザー数や、利用している技術コンポーネントとその保守期限などをリスト化している。これにより、必要なときにリストを見るだけでレビューが可能になる。

 また、できるだけ細かいインフラを持たないことも重要と考えている。オンプレミスでサーバを管理するのは、自分で管理できるので安心感があるように思われるが、最新のセキュリティ状況の把握や対応を社内で行っていくのは困難。そこで、社外のデータセンターを利用したり、クラウドへの移行を推進したり、入口管理や世代管理がきちんとできるようにしておくことが必要になる。

 さらに、計画された更新プログラムをリストに基づいてきちんと適用していくこと、保守期限の切れたレガシーシステムをできるだけ早く退役させることも必要である。

(4)業界リーダーシップの会社、サービスとの協業

 パートナーとの連携では、外部委託会社の個人情報管理状況の監査、経営向けの現状説明会、スポットでの課題に対する意見交換なども必要になる。

これからの大きな潮流となるゼロトラスト

 これからの大きな潮流としては、ゼロトラストによるセキュリティ強化である。これまでのセキュリティ対策は、会社の入り口に大きな防波堤(ファイアウォール)を作り、それを波(脅威)が越えないようにするセキュリティ対策だった。しかし想定外の津波が発生すると防波堤で防ぐことは困難である。

 セキュリティ対策も同様で、メールなどの正しいルートでウイルスなどの脅威が侵入してくる現状では、すでにファイアウォールだけで社内システムを守ることは困難。そこでこれからのセキュリティ対策は、社員であっても会社の情報が出入りするときには、必ずチェックをするゼロトラストのセキュリティ強化が必要になる。

 セキュリティ対策を始めるにあたり、まずは情報セキュリティ管理体制を確立すること。また、サイバーセキュリティ経営ガイドライン(IPA)や日本シーサート協議会などの公的レファレンスを活用する。IPAの「サイバーセキュリティ経営ガイドライン実践プラクティス集」や、日本シーサート協議会のWebサイトで公開されている事例などのドキュメントを活用することも有効になる。

 喜多羅氏は、「情報セキュリティ対策は、IT部門だけでなく、マルチファンクションで取り組むことが重要です。その中で、継続的な教育プログラムの実施と更新プログラムの適用、レガシーシステムの退役プログラムの実施などが必要です。その際に、信頼できるパートナーと連携することも有効です。日清食品で実践したアプローチが、皆さまの会社の情報セキュリティ対応に役立てば幸いです」と話し講演を終えた。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia エグゼクティブのご案内

「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上

アドバイザリーボード

早稲田大学商学学術院教授

根来龍之

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

株式会社CEAFOM 代表取締役社長

郡山史郎

株式会社プロシード 代表取締役

西野弘

明治学院大学 経済学部准教授

森田正隆