脆弱性対応「何かあったら対応します」では遅すぎる。サイバー・カルチャーを変えていくことから始めよう：米国発 〜 ある日本人サイバーセキュリティアナリストの日常（2/2 ページ）

[中臣ノリコ，ITmedia]

　サイバーセキュリティに対する認識や対応の仕方は、企業や業界によって大きく異なります。特に、リスク管理に対するアプローチが組織ごとにどう異なるのかを実感した瞬間でした。セキュリティの重要性を常に認識し、迅速かつ積極的に対応する姿勢が求められる中で、「依然として慎重な姿勢」と言えば聞こえはいいですが、「うちは大丈夫」という姿勢を貫く企業も存在することを改めて感じました。

　同時に、「何かあった場合（インシデントが発生した場合）」に想定されるデータの流出や金銭的損失、さらには企業の信頼性に与える影響を考えると、危機感を持って積極的に対応してほしいと強く感じました。このようなリスクに対して、ただ対応を待つのではなく、予防策を講じることが、今後の企業存続にとって極めて重要だと言えるでしょう。

　私はまず初めに、弊社（売却する企業）のポリシーに対する理解を深めてもらうことと、売却される企業のサイバー・カルチャーに対する考え方を変えることから始めました。しかし、ポリシーの徹底や修正を促すことが常に最適な対応とは限りません。特に事業売却時のシステム移行の際には、近い将来、例えば3カ月後や6カ月後にそのアプリケーションやシステムを撤去する予定がある場合、リスク回避の一環として、その撤去時期を早めるという選択肢も視野に入れるべきです。このような柔軟な対応が、実際のリスク管理においては非常に有効となることがあります。

　脅威度の高い脆弱性やゼロデイ脆弱性発生時に迅速かつ効果的に対応するためには、事前に売却する企業と売却される企業の間でセキュリティ・ベースラインを確立しておくことが極めて重要だとも感じました。このような基盤があることで、いざという時に誰が何をするのかが明確になり、迅速な対応が可能になるからです。特に脆弱性対応における責任範囲を事前にしっかりと定義することは不可欠です。

　事業売却後のシステム移行期間において、脆弱性対応に関する責任が売却する側と売却される側のどちらにあるのかは明確にしなければなりません。例えば、売却後も一定の期間、売却する企業が責任を持つべき場合もあれば、売却される企業が脆弱性修正の義務を引き継ぐ場合もあります。このため、契約書において、既存のセキュリティインフラの保守や修正作業がどちらの責任になるのかを明確に記載することが非常に重要です。

　また、サポート体制や対応期限についても事前に取り決めておくべきです。例えば、以下のような項目を契約に盛り込むことで、緊急対応時における対応をスムーズに進めることができます。

　1、ゼロデイ脆弱性の発見時対応期限：ゼロデイ脆弱性が発生した場合には、〇〇時間以内、あるいは〇〇日以内に対応を完了するという具体的な期限を設定すること。（ベンダー推奨の対応をとること。）

　2、重要な脆弱性発見時の対応合意：重要な脆弱性が発見された際には、どのような対応策を取るか、どのタイムラインで実行するかを双方で合意しておくこと。

　3、予定外のアプリケーションやシステム撤去の対応：もし、予定外にアプリケーションやシステムの撤去を実行する場合、その際には両社のリーダーシップによる書面での合意が必要であることを契約に明記しておくこと。

　このように、脆弱性対応における責任と対応期限を明確にし、双方がどのような対応をするべきかを事前に取り決めておくことが、実際に問題が発生した際に冷静かつ効果的に対応するためのカギとなります。事業売却後のセキュリティリスクを最小限に抑えるためには、こうした詳細な取り決めが欠かせないのです。このように責任と対応期限を明確にしてリスクを最小限に抑えるという概念は昨今のサプライチェーンリスクや第三者ベンダーリスクとの契約などにも応用できると考えます。

　企業のシステムを常に最新の状態に保つことは理想的ではありますが、現実的には多くの企業がレガシーシステムに依存しているのが実情です。特に、システムが古くなるほど、「何かあったら対応します」といった曖昧な対応では、ビジネスへの影響が拡大するリスクが高まります。レガシーシステムはその特性上、脆弱性やサポート切れの問題を抱えていることが多く、迅速な対応が求められる場面では後手に回りがちです。このような状況では、単に「問題が発生した際に対応する」だけでは十分なセキュリティ対策になりません。

　スムーズでかつセキュアなシステム移行を実現するためには、売却する側と売却される側の間で、移行の過程における管理合意をしっかりと取り決めておくことが不可欠です。これには、移行スケジュール、リスク評価、脆弱性対応の責任範囲、そして移行後のサポート体制を明確に定義することが含まれます。特にレガシーシステムの移行においては、予測しきれない問題が発生する可能性が高いため、事前に詳細な合意を交わしておくことがリスク管理のカギとなります。

　さらに、両社のリーダーシップが信頼関係を築き、セキュリティに対するトップダウンのアプローチを推進することも重要です。経営層が率先してセキュリティの重要性を認識し、全社的にその概念を浸透させることで、組織全体が一丸となってセキュリティ対策に取り組むことが可能になります。このような文化が築かれることで、セキュリティ対応がスムーズに進み、移行後も継続的なリスク管理が行いやすくなります。

　以上、事業売却セキュリティにおけるリスク管理の記事を読んでくれた皆さん、ありがとうございます。最後になりますが、事業売却に伴うシステム移行は新たな可能性を生む一方で、セキュリティやコンプライアンスのリスクも伴います。また移行中はシステムが非常に脆弱な状況にあります。皆さんがプロアクティブにセキュリティ対策に取り組んでリスクを回避すれば脆弱性対応の遅れが原因となったインシデントも回避できるのではないかと考えます。引き続き、セキュリティの重要性を意識し、常に最新の情報を学び続けてください。何か質問や意見があれば、ぜひ共有して下さい。皆さんと一緒に良い未来につなげていけたらと思います。

※上記は全て個人の見解であり、所属以上組織としてのものではありません。

著者プロフィール:中臣ノリコ

CISSP、CISM、Security+

サイバーセキュリティ・リスク・エクスパート

日本で数年プログラマーとして働いた後、米国留学を志す。米国州立大学でコンピュータサイエンスと数学を専攻。卒業後、欧州テレコム企業の米国法人でソフトウェアエンジニアとして働く。

数年間主婦として子育てに専念するも、2013年米国NPO：金融機関のサイバーインテリジェンス情報共有機関へ入社。そこでサイバーセキュリティをゼロから学び日本と米国のサイバーインテリジェンスの情報共有の活性化に携わる。2020年から米国大手小売業の情報セキュリティ部に所属。国際部のサイバーセキュリティ・リスク・アナリストを経て、現在、M＆A（合併吸収）及び事業売却の専門チームのサイバーセキュリティ・アナリストとして在職。技術と言語の壁にぶち当たりながらも「日々精進」をモットーに日常を過ごしている。米国ワシントンDC近郊在住。