情報セキュリティ白書や10大脅威から見えてくる基本の大切さ――楽天グループ セキュリティエンジニア 原子拓氏:ITmedia エグゼクティブセミナーリポート(2/2 ページ)
最近のセキュリティインシデントの傾向を整理し、経営層の関与の元でのインシデント対応体制の整備を軸とした、セキュリティ対策の基本の「き」の実施を呼びかけた。
まず、経営層の関与がなければ、いくらセキュリティチームが頑張っても何にもならない。経営層が「セキュリティは大事だ」と言うだけでは実態は伴わない。原子氏は、ポリシーの策定はもちろん、具体的なガイドラインに落とし込んで末端の組織まで徹底していくこと、そしてただセキュリティ推進組織という形を作るだけでなく、きちんと権限や人、もの、金といったリソースを与えて、実のある取り組みを進めることが重要だとした。
また「セキュリティ・バイ・デザイン」という考え方についても、「これは開発の話だけではありません。いろいろな事業の中にセキュリティのマインドを盛り込んでいくことが重要です」と述べ、さまざまな組織が関わっていく必要性を訴えた。
その次のポイントは、たとえどれほど頑張ったとしても、インシデントをゼロにすることはできないという認識を持つことだ。
この認識を持てば、インシデント対応体制は必須のものといえる。それも、ただ組織という形を作るだけでは意味がない。ここで参考になるのが、原子氏も団員となっている消防団の在り方だ。
消防団では、その時々に応じた変化はあるものの、基本的には指揮者がおのおののロールを指定し、全体の統制をかけて消火活動に取り組む。「火消しでは、誰が、いつ、何をするのかを決めておかなければ消火はできません。同じように、どういった脆弱性やほころびをやられてどんなサイバー攻撃を受ける可能性があるか想定した上で、“誰が、いつ、何を”を取り決め、日々、いざというときに備えるべきです」と、事前の準備の重要性を強調した。
「何でもCSIRTが編成されている必要はありません。皆さんの組織に合った形で、職制での対応を決めていけばうまく機能するはずです。形にとらわれる必要はありません」(原子氏)
また、「インシデントはゼロにはならない」のは事実だが、一方で、防御策にしっかり投資しておけばインシデントの発生そのものを減らせることも事実だ。原子氏は、特に海外の企業では、しっかり防御を講じることでインシデント発生を抑える傾向があることに触れ、「どうせ何か起こるのだから後でお金をかけて対処すればいい、というのではなく、ある程度先手を打っておくのも必要だと思います」とも述べた。
インシデント対応体制とも関連するのが、3つ目の人員不足の問題だ。セキュリティ人材の市場価値は高まるばかりで、高額な報酬を出してもなかなか人手が確保できないのが実情となっている。
こうした実態を踏まえると、会社の状況に応じて、例えば最小限のセキュリティ人材確保にとどめてアウトソースできるところは頼り、自社はコア業務に専念するなど、自社に合った方法を検討するというのが原子氏のアドバイスだ。
「どこまでを自社でやるか線を引いておき、できないところはセキュリティが組み込まれているサービスを購入したり、ベストなセキュリティパートナーを見つけたりして、アウトソースを活用する方がいいでしょう」(原子氏)
コロナをきっかけにリモートワークが広がった結果、人材が首都圏に吸い寄せられ、地方ではさらに人材確保が困難になっている。こうしたことを考えると、中途採用においては年齢で線を引きがちだが、シニア世代の活用も考えるのも一つの手だという。
守るべき資産を明確にし、優先順位を付けつつ脆弱性対応を
6つの課題の中でも、原子氏が最も重視しているのが情報資産の棚卸しと脆弱性対応だ。
「情報セキュリティマネジメントの基本は、守るべき情報資産を明確にすることです。資産を把握せず、何がどこにあるのか分からないような状態は絶対に避けるべきです」(原子氏)
デジタル化が進み、クラウドサービスの利用が広がった結果、IT資産の把握が難しい状況になっているのは間違いない。いろいろなツールを活用したり、パートナーやサービスの力を借りたりして棚卸しをし、お金がかけられない中でも、優先順位を付けて守るべきものを守っていくことが重要だ。
ポイントは、「1度きり」ではなく、定期的に情報資産を洗い出し、継続的に脆弱性に対応していくことだ。またシステムのライフサイクルを意識し、運用を考慮に入れ、設計時からセキュリティ対策費用を計算しておくべきだとした。
一般的にIT資産は自社で開発したものと外部から購入したものとに分けられ、後者については、脆弱性対応に相応のコストがかかる。「やはり経営側がこのことを意識し、セキュアなもの作りや調達を心がけるだけでなく、対応に必要な予算をあらかじめ調達できる状況にしておくべきだと思います」と原子氏はアドバイスした。
もちろん、全ての脆弱性に確実に対応していくのは非現実的だ。中には、リスクが高いにもかかわらず、予算や技術的な問題からすぐには対応できない脆弱性もあるだろう。そうした場合には、WAFや仮想パッチといったソリューションをうまく活用して「とりあえずの時間稼ぎ」をすることも有効だとした。
「こうしたサイクルがうまく回り始めれば、10大脅威や情報セキュリティ白書に挙げられている大きな事故は、かなり軽減されるのではないでしょうか」(原子氏)
5つ目のポイントは、ランサムウェアに備え、脆弱性対応はもちろん、万一に備えて複数のバックアップを異なる媒体で取得しておくことだ。バックアップを取るだけでなく、確実にリストアが行えるかテストすることも重要だとした。
最後はサプライチェーンの課題だ。これもまた、インシデントをゼロにすることはできないという前提に立ち、「どんなことが起こりうるかを想定し、いざというときにはお互いに“誰が、いつ、何を”するのかを考えて連携することが大事です」(原子氏)
こうした6つの「基本のき」だが、原子氏は特に、インシデント対応体制の整備を筆頭に、外部のリソースを活用しながらの人材確保、脆弱性対応、そして万一に備えてのバックアップ取得を重点的に実施すべきと強調した。
そして、特に体制面に関してはトップダウンで取り組むことが重要だとし、インシデントはゼロにならない以上、セキュリティ対応体制をしっかり作り、人材がいない、いないと連呼される状況だが、コア人材を確保しつつパートナーシップを活用したりして、基本の実践に一歩踏み出してほしいと呼びかけた。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- AI駆動型攻撃が現実となる時代に求められるセキュリティ対策と専門家の役割とは――名和利男氏
- 2030年問題で解決はいよいよ困難になるサプライチェーンリスクへの処方箋は――NRIセキュアテクノロジーズ 足立道拡氏
- 迷宮化するセキュリティ対策、脱出の鍵は「自分の頭で考える」こと――Armoris 鎌田敬介氏
- 10年の経験を経たRecruit-CSIRTに見る、平時とこれからのCSIRTのあり方――リクルート 鴨志田昭輝氏
- 予防は治療に勝る「プロセスのゼロトラスト化」を軸に多面的な取り組みを展開――全日本空輸 和田昭弘氏
- デジタルアイデンティティこそがデジタル覇権の行方を左右する――東京デジタルアイディアーズ崎村夏彦氏
- 経営層と現場の間に横たわるギャップ解消のために心がけたい3つのポイント ――Armoris 取締役専務 CTO 鎌田敬介氏
- 生成AIは人間の仕事を奪わない。3つの懸念点を踏まえつつ、生成AIの積極的な活用を――日本マイクロソフト 西脇資哲氏
- サイバーセキュリティだけ「特別扱い」には無理がある――経営を脅かすリスクの1つと位置付け、メリハリのある対策を
- 情報漏洩にとどまらず、ビジネスリスクの観点でのサイバー攻撃対策を実践―― サプライチェーン全体を視野に取り組む凸版印刷
- 世界は変わった? 変わらない? 変化の中で引き続き求められるバランスの取れたセキュリティ対策
- サイバーセキュリティ連盟の調査で判明――日本企業のサイバー防御力、ギャップを埋める鍵はセキュリティ意識の変革から