竹内氏 熱海様は現在のようにセキュリティにかかわる以前、ヒューマンエラーを低減するための取り組みを進められていたと伺いました。それはセキュリティにおけるリスク低減にもつながる話ですよね。
熱海氏 私たちの放送の現場でも機械によるエラーは当然発生しますが、それを人がバックアップするときにミスを起こしてしまう、あるいは知識不足やうっかりミスに起因する人為事故が多発していた時期がありました。その中で私が気になったのは、それぞれの職場での情報の伝達です。
セキュリティに置き換えて話すと、「この会社にマルウェアがたくさん来ています、みなさん注意しましょう」と周知するのは本当に適切でしょうかということです。何が一番危険で、自分のところに何が来ているのか。そういったことを知らずに、果たして自分たちは何に気を付けるべきか、何を守るべきかを把握することは難しいでしょう。
ヒューマンエラーでもセキュリティインシデントでも、周知を的確に行い、何に注意すべきかという目的が明確になれば結果は変わります。このように自己責任で取り組む環境を生み出すことができれば、リスクを低減できるというわけです。
竹内氏 単に危ないから気を付けろというのではなく、具体的にどう危ないのかを周知し、それぞれが自分のことと捉えて取り組むということですね。
熱海氏 まさにそのとおりです。「セキュリティを守りましょう!」というスローガンを壁に張り出しても、一人一人の意識が低ければ達成できません。セキュリティリスクを低減するには、各々の人間が適切に脅威を認識し、スキルアップしていくことが不可欠だと思っています。
竹内氏 セキュリティにおけるリスク低減のために、NHK様で重視されていることを教えてください。
熱海氏 多層防御の考え方を採り入れ、さまざまなセキュリティ機器を利用していますが、それよりも基本に立ち返ったところで、どこでログを取得しているのか、ログが足りないところはないか、そういったことを考えるようにしています。マルウェアが侵入したときにどう対処すべきかに注目すると、やはりログの管理とチェックは重要です。自社でできないということであれば、外部の専門家に依頼することも検討すべきではないでしょうか。