Bizコンパス

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」
2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

著者 Bizコンパス編集部

サイバー攻撃に対応するために、開発と運用の溝は埋めるべき

 ランサムウェアのほかにも、標的型攻撃による機密情報の窃取やリスト型攻撃によるアカウントの不正利用など、企業に対するサイバー攻撃は止まる気配はありません。こうした脅威へのセキュリティ対策を企業が考える上で、伊藤氏がヒントとなると挙げるのがNIST(National Institute of Standards and Technology:米国国立標準技術研究所)が公表しているサイバーセキュリティフレームワーク「The Framework for Improving Critical Infrastructure Cybersecurity」(重要インフラストラクチャのサイバーセキュリティ改善のフレームワーク)です。

 「このフレームワークのポイントは、検知や対応を重視すべきだとしている点です。サイバー攻撃を100%防御することが不可能ならば、攻撃を受けたことを即座に検知し、適切に対応することで、被害の拡大を抑えるために力を割くべきだとしています。

 ただし防御から検知・対応へと言うのは簡単ですが、実行するのはとても大変です。防御はシステムを開発するフェーズで実現する範囲となる一方、検知と対応はその開発したシステムの運用フェーズで実現する範囲になります。つまり検知や対応のフェーズは開発担当者ではなく運用担当者が責任を負うものですが、日本ではさまざまな問題に突き当たることになります」(伊藤氏)

 伊藤氏は、米国では一般的に社内のシステムエンジニアが開発から運用まで行うため、防御だけでなく検知・対応まで一貫して取り組むことに問題はないと述べます。一方、アウトソース中心の日本では、システムインテグレーターを使って開発を行い、運用も外部に委託するなど、開発と運用は別のシステムエンジニアが担当するケースが多いため、米国のようにシームレスに対応することが難しくなっていると指摘しました。

 「これを解消するための、キーワードになるのがDevOpsです。これを提唱したのはFlickrのエンジニアで、『開発と運用は仲良くしようよ、ONE TEAMでやっていこうよ』というメッセージをDevOpsというキーワードに込めたのが始まりです。

 そうはいっても、ONE TEAMにするのはすごく大変です。日本では運用業務は切り離した子会社化に委託しているといったケースも多くあります。開発と運用が一貫性のある体制に戻すのは大きな組織改革も伴うでしょう。しかし、これをやらなくてはセキュリティ対策は実現しません」

 さらに伊藤氏は「Continuous Improvement」(継続的改善)が大切だと述べます。新しい脆弱性や脅威に迅速に対応するために、継続的に運用を改善できる体制を作る必要があり、そのためには予算の考え方も変えていかなければならないと話しました。

 「従来、開発したシステムを5年間使うといった場合、たとえば初期費用としてシステム開発費用が30億円、リリース後、年間運用費用2億円が5年間で10億円、合計40億円をシステム予算として確保計上する、そういった考え方が一般的でした。しかし、運用費用は開発したシステムを維持するだけのコストです。もし新たなリスクが生じた場合は、対応するための新しい予算を確保しなければならず、とてもスピード感あるセキュリティ対策の実現は望めません。

 今後は、セキュリティは脅かされるという前提のもと、それを織り込んだ年間予算を確保しておくべきです。このような予算の考え方に変えていかないと、検知・運用に必要な継続的な改善はできません」

SHARE

関連記事

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

2020.03.19

セキュリティ対策に求められる新たな視点第15回

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

“届いてから最短10分”でテレワークを始める方法がある

2020.03.04

テレワーク導入の“壁”を解決

“届いてから最短10分”でテレワークを始める方法がある

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

マルチクラウドの活用に必要なクラウドマネジメントとは?

2020.01.31

DXを加速させるITシステムの運用改革第19回

マルチクラウドの活用に必要なクラウドマネジメントとは?

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

2020.01.08

セキュリティ対策に求められる新たな視点第10回

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

ランサムウェア?破壊型マルウェア?LockerGogaの罠

2019.12.25

セキュリティ最前線第5回

ランサムウェア?破壊型マルウェア?LockerGogaの罠

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

2019.12.25

セキュリティ対策に求められる新たな視点第9回

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる