具体的な状況に基づいた議論こそが生み出す意味のあるセキュリティ対策とは――Armoris 鎌田敬介氏:ITmedia エグゼクティブセミナーリポート(2/2 ページ)
一般論ではなく、具体的な情報に基づいた議論が導き出す意味ある対策
鎌田氏は、被害と対策を具体的に考えるケーススタディとして、ランサムウェア対応を挙げた。
すでにさまざまなところで説明されているとおり、ランサムウェアの被害に遭うと、侵害を受けてデータが持ち出される他、データが暗号化されてシステムが止まり、業務が止まってしまう恐れがある。攻撃者から直接、身代金を支払うよう脅迫を受けることもある。そして、持ち出されたデータが一般に公開されると、情報漏洩により多大な影響を被ることは、周知の通りだろう。
こうした影響に対し、技術的な対応はもちろん、場合によっては経営判断も含めた組織的な対応が求められ、セキュリティ専門家に助言を求めた時によくあるのが、「セキュリティ的に最強だが、コストばかりかかってしまう」非現実的な対策を推奨されるケースだ。残念ながら「現実的にどのラインが妥当なのか」を議論できるセキュリティベンダーは少ない。
「業務停止への対応にしても、やはり具体的な論点が重要だ。単に「何か起きたらシステムを復旧します」と手続きを書いて終わらせるのではなく、「どれぐらいの時間で復旧できるのか」「もし復旧できなかったらどうするのか」など、多様な観点を含めてプランを考えていく必要があるとした。
なお、「システム」ではなく「業務」を復旧させるという視点からは、アナログな手続きへの切り替えも効果的な選択肢となる。「業務継続を重視するという意味では、必ずしもシステム的な対処が全てではありません」(鎌田氏)。システム停止で業務ができなくなり、手の空いた人に、他部署のアナログな作業や顧客への説明などを手伝ってもらうといった柔軟な発想も有効だ。
身代金要求についても、単純に「払う、払わない」の議論に集約されがちだが、実際には「自社の被害はどれくらい大きいのか」「社会的な影響はどのくらいか」を踏まえ、具体的な状況を考えていかなければ、建設的な議論はできないという。
例えば2021年に米国で発生したコロニアルパイプラインのランサムウェア感染において、同社は約4億円に上る身代金を支払った。この判断について同社のCEOは、攻撃者に金銭が流れるのは許しがたいことだとしながらも、「重要インフラ事業者として、数カ月単位でガソリン供給が止まり、社会が混乱することを考えれば、身代金を支払ってでも業務を継続する方を優先した」と議会で証言している。このケースが示すとおり、置かれた状況に応じて払う場合のリスク、払わない場合のリスクを検討し、最終的には経営者が判断を下すことが必要になるだろう。
データ公開への対応だが、これもまず、攻撃者が公開すると脅迫に使っているデータが本当に自社にとって重要なものなのか、それとも一般に公開されているデータをただ「盗んだ」と偽っているだけなのかを見極めなければならない。この場合もやはり、世の中であり得るケースを網羅するよりも、自社にとって重要な情報は何かという具体的な状況に基づいて考える方が、意味のある対応・対策を立案できる。
「できないけれど、やるべきこと」を「できること」に
セキュリティ対策はともすれば、ガイドラインなどの一般論に基づいて論じられがちだ。また、「チェックリストを埋め、○を付けるにはどうすればいいか」と手段と目的が逆転し、意味のない対策になってしまいがちな例も、よく目にする。
鎌田氏はここまでの説明を踏まえ、「いかに自社の状況に当てはめ、具体化して考えるか」が重要だと再度呼びかけた。
「ガイドラインやフレームワークから入っていくよりも、自社の環境や業務、システムを元に、“このシステム構成でこういった対策をしているが、抜け漏れはあるか”と具体的に考えることで、より具体的な答えが出せます。その際にはさまざまな分野の人が関わり複数の目線で議論する方が、さらによい結果が得られます」(鎌田氏)。
もちろん前提として、互いの頭の中で思い描いている概念のすりあわせは必要だ。経営とIT担当者はもちろん、IT担当者の中でも運用担当者とセキュリティ担当者の間では、具体的に指し示す状況が異なることがある。多様な意見を取り入れていくためにも、普段からコミュニケーションを円滑に取り、信頼関係を構築しておくことが重要という。
最後に同氏は、セキュリティ対策のうち、「できることだし、やるべきこと」は多くの企業が実践しているが、「やるべきではないが、できること」に時間とリソースをかけてしまっているケースが見受けられると指摘した。何より大事なのは、「できないけれど、やるべきこと」をどのように見つけ、ガイドラインの後押しや経営陣の関与も取り付けながら「できること」に変えていくことだ。「現在の、とにかくやるべきことがたくさんある中では、その見極めが重要になってくるでしょう」(鎌田氏)
関連記事
- AI駆動型攻撃が現実となる時代に求められるセキュリティ対策と専門家の役割とは――名和利男氏
- 2030年問題で解決はいよいよ困難になるサプライチェーンリスクへの処方箋は――NRIセキュアテクノロジーズ 足立道拡氏
- 迷宮化するセキュリティ対策、脱出の鍵は「自分の頭で考える」こと――Armoris 鎌田敬介氏
- 10年の経験を経たRecruit-CSIRTに見る、平時とこれからのCSIRTのあり方――リクルート 鴨志田昭輝氏
- 予防は治療に勝る「プロセスのゼロトラスト化」を軸に多面的な取り組みを展開――全日本空輸 和田昭弘氏
- デジタルアイデンティティこそがデジタル覇権の行方を左右する――東京デジタルアイディアーズ崎村夏彦氏
- 経営層と現場の間に横たわるギャップ解消のために心がけたい3つのポイント ――Armoris 取締役専務 CTO 鎌田敬介氏
- 生成AIは人間の仕事を奪わない。3つの懸念点を踏まえつつ、生成AIの積極的な活用を――日本マイクロソフト 西脇資哲氏
- サイバーセキュリティだけ「特別扱い」には無理がある――経営を脅かすリスクの1つと位置付け、メリハリのある対策を
- 情報漏洩にとどまらず、ビジネスリスクの観点でのサイバー攻撃対策を実践―― サプライチェーン全体を視野に取り組む凸版印刷
- 世界は変わった? 変わらない? 変化の中で引き続き求められるバランスの取れたセキュリティ対策
- サイバーセキュリティ連盟の調査で判明――日本企業のサイバー防御力、ギャップを埋める鍵はセキュリティ意識の変革から
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
ITmedia エグゼクティブのご案内
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
アクセストップ10
- 運転手いらない自動運転「レベル4」路線バス 人手不足業界の救世主へ松山からGO
- ビジネスマンが睡眠を向上させ能力を進化させるために知っておくべき、7つの睡眠戦略
- 情報セキュリティ白書や10大脅威から見えてくる基本の大切さ――楽天グループ セキュリティエンジニア 原子拓氏
- 2025年に行くべき新施設3選
- ドライバー不足で「共同輸配送」が加速 ヤマトHDと富士通が発表、NECや日本製紙も
- なぜコーポレートITはコスト削減率が低いのか――既存産業を再定義することでDXを推進
- ホンダが人材力強化へ新戦略 部長年収200万〜300万円引き上げ、定年も一部廃止
- 第34回:転職者の4割以上が給与減になる「55歳」の“壁”をどう乗り越えるか?
- 使用済み太陽光パネル 加熱処理でリサイクル 再エネ適地の北海道で進む最先端技術実証
- 警察・自衛隊の合同拠点新設へ 能動的サイバー防御で東京・市谷に
アドバイザリーボード
早稲田大学商学学術院教授
根来龍之
早稲田大学大学院国際情報通信研究科教授
小尾敏夫
株式会社CEAFOM 代表取締役社長
郡山史郎
株式会社プロシード 代表取締役
西野弘
明治学院大学 経済学部准教授
森田正隆
過去記事カレンダー
2025年
ITmediaはアイティメディア株式会社の登録商標です。