変化の時代のセキュリティ対策で重要なのは、情報収集と分析、コミュニケーション、人材の確保――オリックス銀行 鈴木智之氏:ITmedia エグゼクティブセミナーリポート(2/2 ページ)
コロナ禍でテレワークが常態化する中、サイバーセキュリティのリスクはさらに増大し、一般的な境界防御型のセキュリティでは対策が困難になりつつある。より実践的で効果的なサイバーセキュリティを追求するためのヒントとは。
「新しい技術に対して新しい対策も必要ですが、過去に経験した問題点や課題とは分けて考えることが必要です。一言で変化といいつつも、新しい対応が必要なものと、既存の対応やその充実でカバーできるものがあります。これらを分けて考えることで、変化に柔軟かつ適切な対応をすることができます。重要なのは、まずはセキュリティの目的や現状、リスク、必要性などをしっかりと意識したうえで、情報を収集し、一方で自社の現状を把握することです」(鈴木氏)
多くの人との情報交換がセキュリティの向上につながる
変化に対応するセキュリティ管理で重視することとは何か。鈴木氏は、「必要な水準と比較して、しっかりとした対策を実施することが変化に対するセキュリティ管理の基本です。さらに大事なのは、変化に対する情報の収集や人材の確保、関係者とのコミュニケーションです。変化への対応では、まずセキュリティに対する共通認識と現状把握をしっかりとすることが必要になります」と話す。
セキュリティ担当者は、自社にどのような情報資産があるか、セキュリティ基準のどこが足りないのか、脅威があることを理解して、セキュリティ部門以外の経営者や業務部門の担当者と話をすることが必要。このとき、自社の経営課題や経営戦略は何か、商品やサービスは何かを踏まえて、自社のセキュリティの目的や位置付けを経営者や業務部門の担当者、ユーザーと認識を合わせることが重要になる。
自社の情報資産の把握やセキュリティ対策では、社内だけでなく、社外やお客さまなどともコミュニケーションをして認識を合わせておき、どのようなセキュリティ上の目標をたてるかが重要。そして大事なのは、情報収集と分析だ。
特に脆弱性情報や脅威情報は、ベンダーから提供されることが多いが、ベンダー情報だけでなく、業界内やセキュリティ担当者の横のつながりによる情報収集が必要。2022年5月に情報処理推進機構(IPA)がサプライチェーンのセキュリティ対策状況のレポートを公開したが、セキュリティの状況や脆弱性情報、攻撃手口などを共有できていない業界があると報告されている。
「隣の会社が受けた攻撃は、自社も受けると考えて対策をすべきという観点での業界内の情報共有が必要です。情報を収集するだけでなく、分析することも必要。セキュリティチームのリーダーだったとき、メンバーに1日1時間はWebで情報収集し、分析する時間とするよう勧めていました。毎日、新しいセキュリティ情報や自社の商品などを分析し、セキュリティ対策の必要性を検討する時間を設けることが有効です」(鈴木氏)。
情報収集と分析の次に対策を実施するが、IT部門が管理していたシステムに関しては基本的な対策ができていることが重要になる。問題はクラウド上のシステムやRPA、テレワーク機器、仕入先/委託先のシステムなども対策ができているかである。また、部門では対策できているが全社は分からない、国内は対策しているが海外は分からないというのも課題の1つ。セキュリティ対策は、「知りません」では許されない。
「対策を行うときに、関係者が趣旨や目的を理解しているか、同じ用語でコミュニケーションできているかが重要です。例えばDLPという言葉1つでも、どのような仕組みによ対策なのか、関係者によって認識が異なることもあります。情報を集め、認識を共有し、対策を横展開する、コミュニケーションがハブになるという認識が重要です」(鈴木氏)
セキュリティ対策は、セキュリティ担当者だけで実現できる時代ではなく、社内外の関係者が連携して取り組むことが大事になる。関係者と情報を共有して、必要な担当者に必要な情報を双方向でやりとりし、コミュニケーションをする。情報を発信することは、情報を集めることにもつながる。
情報を分析する、コミュニケーションをするためには人材が重要になる。セキュリティ部門だけでは、安全を確保できない時代であり、業務部門にも、経営層にもセキュリティ人材は必要になる。そのためには人事ローテーションが効果的だが、セキュリティ部門も人材が不足しているので、育成がなかなか困難である。それでも、人材を採用し、育成していくことは不可欠な取り組みといえる。
鈴木氏は、「セキュリティには、変わるものと変わらないものがあります。分析すると、対応済みのものと対応が必要なものがあります。情報収集、分析、コミュニケーション、人材の確保が重要な基盤になります。ぜひ多くの人と情報交換をして、セキュリティ向上に取り組んでいきましょう。オリックス銀行でも、一緒にセキュリティ対応に取り組んでくれる人材を求めています」と話し、講演を終えた。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 「損害保険×ソリューション」の提供で、効率的かつ効果的なサイバーリスク対策を実現――東京海上日動火災保険 教学大介氏
- 増え続けるサイバー犯罪、「完璧」ではなく「現時点最強」で致命傷を避ける備えを――圓窓 澤円氏
- 変化に必要なのはインプットとアウトプットで「いま」という時代をちゃんと知ること――Armoris 取締役専務 CTO 鎌田敬介氏
- サイバー攻撃から組織を守るために不可欠な3つのチカラとは――SBテクノロジー プリンシパルセキュリティリサーチャー 辻伸弘氏
- 重要インフラ行動計画、環境の変化を考慮して継続的に改定していくことが重要――NISC 結城則尚氏
- 情報セキュリティ委員会、CSIRT、SOCがワンチームで対応するのが情報セキュリティの肝――ラック、ダイドーグループHD 喜多羅滋夫氏
- 攻めのサイバーセキュリティでDXをけん引し、全てのステークホルダーに価値を提供――竹中工務店 高橋均氏
- DXを支えるサイバーセキュリティ新常態を新型コロナウイルス対策から学ぶ――ラック西本逸郎社長
- デジタルによる業務の生産性向上とセキュリティ強化の両立がゼロトラスト最大の目的――NRIセキュアテクノロジーズ 鳥越真理子氏
- ゼロトラストで目指すのは、快適に、安心して、楽しく働ける職場を支えるIT基盤――日清食品グループの挑戦
- 脅威と向き合う哲学――これからのランサムの話をしよう
- NISCもゼロからテレワーク導入――コロナ禍が問う、ウィズリスク時代の緊急対応