世界は変わった? 変わらない? 変化の中で引き続き求められるバランスの取れたセキュリティ対策ITmedia エグゼクティブセミナーリポート(2/2 ページ)

» 2023年08月23日 07時03分 公開
[高橋睦美ITmedia]
前のページへ 1|2       

 さらに、「セキュリティ管理策は1回実施して終わりではなく、やり続けることが必要です」と指摘。例えば、1度アセスメントを実施して終わるのではなく定期的に実施し、どの程度改善できているかを計測する、セキュリティ製品を導入して事足れりとするのではなく、きちんと監視し、日々飛んでくるアラートに対応するといった運用の視点が重要になる。さらに言うと、ポリシーや社員の教育コンテンツについても、変化に合わせて適宜見直しをするといった「運用的な視点」を持てるかどうかが重要だとした。

 運用的な視点を持って検討すべき課題の一例が脆弱性管理だ。20年前ならば、脆弱性が公になってからパッチを適用するまでに数カ月から半年程度の猶予は許されていたかもしれない。しかし今やそんな余裕はなく、いかに迅速に脆弱性の重要度を判定しパッチを適用するかがポイントとなっている。外部に委託しているシステムのパッチ適用も含め、運用の観点からどう取り組むかも重要な論点になるとした。

ハンズオン形式の演習やテストを通して自らの見直しを

 3つ目の要素である技術については、サイバーセキュリティへの関心が高まり、社内でいろいろな人が議論に参加するのはいいものの、リテラシーの差に起因するコミュニケーションコストの増大という課題があると鎌田氏は指摘した。逆に、議論に参加する人たちに技術的な理解があればコミュニケーションコストが低い、いわば「話が早い」状態を作り出すことができる。

 そのために有効な手段は、やはりインシデント対応演習だ。「教科書で一生懸命勉強するのはいいのですが、体系的に理解できていないことが多くあります。やはり実際に自分で手を動かすハンズオン形式の演習への参加が、自分自身を見直すきっかけになると思います」(鎌田氏)

 また、セキュリティフレームワークに基づいて一通りいろいろな対策を実施し、チェックリストをクリアしていたにもかかわらず侵害されてしまう事例は珍しくない。鎌田氏は、これまで導入してきたセキュリティ対策が本当に有効なのか、特に、ひとたび侵入された後のラテラルムーブメントにどの程度対策できているかを確認する上で、「ペネトレーションテスト」「レッドチーム演習」が有用だとした。

 「求められるセキュリティ対策を要素技術に分解していくと、実はこの20年間ほとんど変わっていないものばかりです。ITの要素技術をきちんと身に付けることが、この先セキュリティに携わる上でも、新しい技術を理解する上でも必要で、重要なポイントになります」(鎌田氏)

経営、管理、技術という3つの要素のバランスが取れた対策を

 鎌田氏は最後に、全体を俯瞰したバランスのよい対策が必要だと強調した。管理策に重きを置くあまりに技術策がおろそかになったり、逆に技術策を追求するあまりに全体のカバレッジができていなかったりしないかを自問すべきだという。

 「社内では経営、管理、技術という3つの要素をバランスよくカバーしていくことが重要です。また社外という意味では脅威、脆弱性、リスクという別の視点があります。どれか1つだけ見ていてはだめで、3つをバランスよく見るべきです」(鎌田氏)

 ただバランス、バランスと言っても、現実的には何らかの優先順位が必要で、それをどう考えるべきかで悩む場面は少なくない。

 鎌田氏は「“これをすればいける”という正解はありません。自分で考えなければならず、何をやるにも時間がかかるのがサイバーセキュリティの難しいところです」とした上で、社内外の情報や人と関わりを作り、認識を高めて、また自分たちだけで頑張るのではなく時には外部の専門家の力をうまく使い、コミュニティの力を借りながら対策を進めてほしいとアドバイスし、講演を終えた。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia エグゼクティブのご案内

「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上

アドバイザリーボード

根来龍之

早稲田大学商学学術院教授

根来龍之

小尾敏夫

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

郡山史郎

株式会社CEAFOM 代表取締役社長

郡山史郎

西野弘

株式会社プロシード 代表取締役

西野弘

森田正隆

明治学院大学 経済学部准教授

森田正隆