Bizコンパス

事業継続のためのセキュリティ対策を考える
2017.06.02

エバンジェリストに聞く!セキュリティ最新トレンド

事業継続のためのセキュリティ対策を考える

著者 Bizコンパス編集部

サイバー攻撃に対するリスクマネジメント、何をすべき?

 このようにサイバー攻撃が頻繁に発生し、それらを検知して防御することが難しくなっている状況において、どのようにリスクマネジメントを行うべきでしょうか。この点について竹内氏は、3つのステップで対策を進めていくべきだと話しました。

リスクマネジメントの強化ポイント”1.2.3.”

 「1つ目のステップは社内体制の整備です。具体的には、各々のシステムのライフサイクルなどに合わせて、セキュリティのチェックポイントをしっかり作っていくことです。何十、何百というシステムがあり、それらを管理するIT担当者も複数存在する。そのような状況の中でも、システムの種類や管理者のスキルにかかわらず、一定レベルのセキュリティを保つことができる。そのようにセキュリティのチェックポイントを構造化し、体制を整えることが最初のステップになります」

 2つ目のステップとして竹内氏が挙げたのはCSIRTの構築です。CSIRTとは、マルウェア感染やサーバーへの不正アクセスといったインシデントが発生した際に、その調査を行う組織であり、昨今設立する企業が増加しています。このCSIRTの運用においては、「警察署ではなく消防署になることが重要」と竹内氏は説きました。

 「何かあったとき、社員の方々が電話を掛けにくいところでは駄目なのです。何かちょっと危険を察知したとき、110番にはかけにくいですよね。でも、小火(ぼや)が出たときに119番にかけることはあまりためらわないのでは。警察ではなく消防署のような存在となり、何かあったときにすぐに通報してもらえる、そういった体制やプロセスの作り方がCSIRTを成功させる大きな秘訣です」

リスクマネジメント体制におけるCSIRTの位置づけ

 またCSIRTのメンバーに求められる素養として「業務を理解していて、さらに会社の事業継続において何が必要か、リスクは何かということを熟知し、さらに技術面の統制がある程度できる人」とした上で、「CSIRTのメンバーがログを分析する必要はない」と話し、「サイバー攻撃を検知し防御する技術は日々進化しているため、そのような部分はアウトソーシングするなど、体制を整えていくことが重要」としました。

グループ全体を救うセキュリティ共通基盤とは?

 そして3つ目のポイントとなるのが、情報セキュリティガバナンスのグループ全体への展開です。この際に大切なのが尺度を持つことで、情報セキュリティガバナンスの成熟度モデルに基づき、人と組織、技術のそれぞれの視点で現状を把握することができれば、グループ全体のセキュリティレベル向上につなげられるでしょう。

 最後に竹内氏が語ったのは、セキュリティ共通基盤を作ることのメリットです。

 「攻撃者はセキュリティレベルの低い拠点や子会社を狙って攻撃を仕掛けて踏み台とし、本丸、つまりセキュリティレベルが高い本社にある情報を盗み出します。その対策としては、グループ全体を守るセキュリティ共通基盤を作ることが挙げられます。これは決して難しい話ではなく、単にプロキシサーバーを立てて、グループ会社の従業員がインターネットにアクセスする際に必ず経由するようにしておくわけです。このプロキシサーバーのログを分析すれば多くの脅威を検知できるほか、そこで得られた情報を共有することで組織間をまたいだ連携防御にもつながります。こういった形を整えることができれば、事故が起きてもすぐに検知できて、必要なアクションを即座に実行できる、対応能力の高いセキュリティ対策になるでしょう」

グループ経営を守るノウハウ共有と連携防御

 セキュリティ対策は直接ベネフィットを生み出すものではありませんが、一方でサイバー攻撃を受ければ大きな金銭的損失が生じるのも事実です。地震や洪水などといった災害対策と同様、セキュリティ対策もリスクマネジメントの一環であると捉え、事業継続のために何をすべきかをあらためて考えてみましょう。

※掲載されている内容は公開日時点のものです。
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります。

SHARE

関連記事

今すぐ見直したい!IoTセキュリティのあるべき姿

2017.05.19

狙われるインフラ、工場、プラント…

今すぐ見直したい!IoTセキュリティのあるべき姿

毎日のサイバー攻撃は当たり前!?セキュリティの現場

2017.05.12

担当者が語る◯◯の現場第1回

毎日のサイバー攻撃は当たり前!?セキュリティの現場

セキュリティ対策「まず何をすべきか」の最適解!

2016.11.09

サイバー攻撃から企業を守るために今何をすべきか前編

セキュリティ対策「まず何をすべきか」の最適解!

他人事ではない!「日本年金機構・情報流出事件」考察

2015.06.19

標的型攻撃を念頭に自社のセキュリティ対策を再点検

他人事ではない!「日本年金機構・情報流出事件」考察

不正なOffice文書によるマルウェア感染への対策

2020.01.21

今知っておきたいITセキュリティスキルワンランクアップ講座第19回

不正なOffice文書によるマルウェア感染への対策

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2段階認証を突破しようとするフィッシングの手口

2019.12.05

今知っておきたいITセキュリティスキルワンランクアップ講座第18回

2段階認証を突破しようとするフィッシングの手口

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

DNS通信を暗号化する「DNS over HTTPS」とその課題

2019.11.13

今知っておきたいITセキュリティスキルワンランクアップ講座第17回

DNS通信を暗号化する「DNS over HTTPS」とその課題

NASAに学ぶ“反面教師”のセキュリティ対策

2019.11.07

セキュリティ最前線第3回

NASAに学ぶ“反面教師”のセキュリティ対策