サイバー攻撃は現実の脅威――ヤフーだけが特別ではなくすべての会社が対象：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

「第31回 ITmedia エグゼクティブセミナー」の基調講演に、ヤフー 社長室 リスクマネジメント室 プリンシパルである高元伸氏が登場。「セキュリティリスクをどう管理する その対策は何故するのか」をテーマに講演した。

[山下竜大，ITmedia]

　また内部不正に関しては、作業の確認や承認、ログ管理の権限分離などで機会をなくすことや動機を抑制することが重要になる。このとき、会社支給の端末と個人使用の端末の利用を区別したり、パスワードの使い回しや情報の持ち出しを禁止したりするなど、社員の意識改革も必要になる。報酬が万能薬でないことも認識しておかなければならない。

　次に対処と分析では、初期対応が重要になる。例えば「発生検知」は数時間で対処し、「初期対応」は数時間から最大3日で対応。「事態収拾」は1日から1週間、最大でも1カ月という時間軸で対処することが必要になる。

初期対応の重要性

　「特に初期対応でミスをすると事態収拾が長期化してしまう恐れがある。迅速なエスカレーションと決断が重要であり、リソースの投入を惜しまないこと。なにより侵入と流出をくい止めることである」（高氏）

　最後に消火と開示では、事故対応の良し悪しが企業ダメージの有無に大きく影響することになる。死守すべきは顧客の利益と企業への信頼である。またステークスホルダーへの配慮も重要。そのためには連絡体制の確立や初動動作、各部門の役割の徹底などを訓練し、疑似体験を繰り返しておくことが有効になる。

　高氏は、「ヤフーでは、例えば震災によりデータセンターの機能が停止したことを想定し、本社機能を継続させるためのシミュレーションを実施している。100％の安全が保証されていないレーサーが、サーキットでスピードを出せるのは、緊急体制が周到に準備されているからである」と話している。

リスクマネジメントは自然体が重要

　攻撃者は、明確に集団で統一した意思により攻撃を仕掛けてくる。相手が統一した意思で攻撃してくるときに、守る側の意思がバラバラでは防ぐことは難しい。そこで経営トップの明確な意思が必要であり、それに対して各担当者が一丸となることが必要になる。

　またリスクマネジメントにどこまで投資するかも問題だが、あまり背伸びをせず、なるべくミスをしないバランス感覚で投資することが必要になる。さらに脅威と対策のギャップを定期的にチェックすることも重要になる。

　高氏は、「個人的には、自然体であることが重要だと思っている。すべての攻撃を防げるわけではなく、正しい答えもないのが実情である。繰り返しになるが、リスクにどう対処するかは企業によってさまざまだが、ツールだけではなく、組織体制を確立することが重要なポイントになる」と話し講演を終えた。