変化の時代のセキュリティ対策で重要なのは、情報収集と分析、コミュニケーション、人材の確保――オリックス銀行 鈴木智之氏:ITmedia エグゼクティブセミナーリポート(2/2 ページ)
「新しい技術に対して新しい対策も必要ですが、過去に経験した問題点や課題とは分けて考えることが必要です。一言で変化といいつつも、新しい対応が必要なものと、既存の対応やその充実でカバーできるものがあります。これらを分けて考えることで、変化に柔軟かつ適切な対応をすることができます。重要なのは、まずはセキュリティの目的や現状、リスク、必要性などをしっかりと意識したうえで、情報を収集し、一方で自社の現状を把握することです」(鈴木氏)
多くの人との情報交換がセキュリティの向上につながる
変化に対応するセキュリティ管理で重視することとは何か。鈴木氏は、「必要な水準と比較して、しっかりとした対策を実施することが変化に対するセキュリティ管理の基本です。さらに大事なのは、変化に対する情報の収集や人材の確保、関係者とのコミュニケーションです。変化への対応では、まずセキュリティに対する共通認識と現状把握をしっかりとすることが必要になります」と話す。
セキュリティ担当者は、自社にどのような情報資産があるか、セキュリティ基準のどこが足りないのか、脅威があることを理解して、セキュリティ部門以外の経営者や業務部門の担当者と話をすることが必要。このとき、自社の経営課題や経営戦略は何か、商品やサービスは何かを踏まえて、自社のセキュリティの目的や位置付けを経営者や業務部門の担当者、ユーザーと認識を合わせることが重要になる。
自社の情報資産の把握やセキュリティ対策では、社内だけでなく、社外やお客さまなどともコミュニケーションをして認識を合わせておき、どのようなセキュリティ上の目標をたてるかが重要。そして大事なのは、情報収集と分析だ。
特に脆弱性情報や脅威情報は、ベンダーから提供されることが多いが、ベンダー情報だけでなく、業界内やセキュリティ担当者の横のつながりによる情報収集が必要。2022年5月に情報処理推進機構(IPA)がサプライチェーンのセキュリティ対策状況のレポートを公開したが、セキュリティの状況や脆弱性情報、攻撃手口などを共有できていない業界があると報告されている。
「隣の会社が受けた攻撃は、自社も受けると考えて対策をすべきという観点での業界内の情報共有が必要です。情報を収集するだけでなく、分析することも必要。セキュリティチームのリーダーだったとき、メンバーに1日1時間はWebで情報収集し、分析する時間とするよう勧めていました。毎日、新しいセキュリティ情報や自社の商品などを分析し、セキュリティ対策の必要性を検討する時間を設けることが有効です」(鈴木氏)。
情報収集と分析の次に対策を実施するが、IT部門が管理していたシステムに関しては基本的な対策ができていることが重要になる。問題はクラウド上のシステムやRPA、テレワーク機器、仕入先/委託先のシステムなども対策ができているかである。また、部門では対策できているが全社は分からない、国内は対策しているが海外は分からないというのも課題の1つ。セキュリティ対策は、「知りません」では許されない。
「対策を行うときに、関係者が趣旨や目的を理解しているか、同じ用語でコミュニケーションできているかが重要です。例えばDLPという言葉1つでも、どのような仕組みによ対策なのか、関係者によって認識が異なることもあります。情報を集め、認識を共有し、対策を横展開する、コミュニケーションがハブになるという認識が重要です」(鈴木氏)
セキュリティ対策は、セキュリティ担当者だけで実現できる時代ではなく、社内外の関係者が連携して取り組むことが大事になる。関係者と情報を共有して、必要な担当者に必要な情報を双方向でやりとりし、コミュニケーションをする。情報を発信することは、情報を集めることにもつながる。
情報を分析する、コミュニケーションをするためには人材が重要になる。セキュリティ部門だけでは、安全を確保できない時代であり、業務部門にも、経営層にもセキュリティ人材は必要になる。そのためには人事ローテーションが効果的だが、セキュリティ部門も人材が不足しているので、育成がなかなか困難である。それでも、人材を採用し、育成していくことは不可欠な取り組みといえる。
鈴木氏は、「セキュリティには、変わるものと変わらないものがあります。分析すると、対応済みのものと対応が必要なものがあります。情報収集、分析、コミュニケーション、人材の確保が重要な基盤になります。ぜひ多くの人と情報交換をして、セキュリティ向上に取り組んでいきましょう。オリックス銀行でも、一緒にセキュリティ対応に取り組んでくれる人材を求めています」と話し、講演を終えた。
関連記事
- 「損害保険×ソリューション」の提供で、効率的かつ効果的なサイバーリスク対策を実現――東京海上日動火災保険 教学大介氏
- 増え続けるサイバー犯罪、「完璧」ではなく「現時点最強」で致命傷を避ける備えを――圓窓 澤円氏
- 変化に必要なのはインプットとアウトプットで「いま」という時代をちゃんと知ること――Armoris 取締役専務 CTO 鎌田敬介氏
- サイバー攻撃から組織を守るために不可欠な3つのチカラとは――SBテクノロジー プリンシパルセキュリティリサーチャー 辻伸弘氏
- 重要インフラ行動計画、環境の変化を考慮して継続的に改定していくことが重要――NISC 結城則尚氏
- 情報セキュリティ委員会、CSIRT、SOCがワンチームで対応するのが情報セキュリティの肝――ラック、ダイドーグループHD 喜多羅滋夫氏
- 攻めのサイバーセキュリティでDXをけん引し、全てのステークホルダーに価値を提供――竹中工務店 高橋均氏
- DXを支えるサイバーセキュリティ新常態を新型コロナウイルス対策から学ぶ――ラック西本逸郎社長
- デジタルによる業務の生産性向上とセキュリティ強化の両立がゼロトラスト最大の目的――NRIセキュアテクノロジーズ 鳥越真理子氏
- ゼロトラストで目指すのは、快適に、安心して、楽しく働ける職場を支えるIT基盤――日清食品グループの挑戦
- 脅威と向き合う哲学――これからのランサムの話をしよう
- NISCもゼロからテレワーク導入――コロナ禍が問う、ウィズリスク時代の緊急対応
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
ITmedia エグゼクティブのご案内
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
アクセストップ10
- 世界で最も歩きやすい都市トップ10が発表
- なぜあの人は、いつも成果を出せるのか?── 「ほんとうに」仕事ができる人が持つ2つの資質
- 生成AIは人間の仕事を奪わない。3つの懸念点を踏まえつつ、生成AIの積極的な活用を――日本マイクロソフト 西脇資哲氏
- 管理職としてZ世代を率いるリーダーが、チームビルディングのために意識すべき「3つのこと」とは?
- 自動物流道路導入に向け岸田首相がルート選定指示へ 22日のデジタル行財政会議
- 第25回:メンバーが「自然に本音を話せる1on1」になるまでの3ステップ
- 富士フイルム、ヘルスケアや半導体を中心に1.9兆円投資 今後3年間で
- なぜコーポレートITはコスト削減率が低いのか――既存産業を再定義することでDXを推進
- 「志村の笑いは本物」……俳優・寺田農さんが産経新聞読書面に残した28本のコラムを読む
- AI時代に求められるデータドリブン経営 大事なのは「顧客理解」
事務局からのお知らせ
アドバイザリーボード
早稲田大学商学学術院教授
根来龍之
早稲田大学大学院国際情報通信研究科教授
小尾敏夫
株式会社CEAFOM 代表取締役社長
郡山史郎
株式会社プロシード 代表取締役
西野弘
明治学院大学 経済学部准教授
森田正隆
過去記事カレンダー
ITmediaはアイティメディア株式会社の登録商標です。