NTTコミュニケーションズ

Bizコンパス

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」
2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

著者 Bizコンパス編集部

サイバー攻撃に対応するために、開発と運用の溝は埋めるべき

 ランサムウェアのほかにも、標的型攻撃による機密情報の窃取やリスト型攻撃によるアカウントの不正利用など、企業に対するサイバー攻撃は止まる気配はありません。こうした脅威へのセキュリティ対策を企業が考える上で、伊藤氏がヒントとなると挙げるのがNIST(National Institute of Standards and Technology:米国国立標準技術研究所)が公表しているサイバーセキュリティフレームワーク「The Framework for Improving Critical Infrastructure Cybersecurity」(重要インフラストラクチャのサイバーセキュリティ改善のフレームワーク)です。

 「このフレームワークのポイントは、検知や対応を重視すべきだとしている点です。サイバー攻撃を100%防御することが不可能ならば、攻撃を受けたことを即座に検知し、適切に対応することで、被害の拡大を抑えるために力を割くべきだとしています。

 ただし防御から検知・対応へと言うのは簡単ですが、実行するのはとても大変です。防御はシステムを開発するフェーズで実現する範囲となる一方、検知と対応はその開発したシステムの運用フェーズで実現する範囲になります。つまり検知や対応のフェーズは開発担当者ではなく運用担当者が責任を負うものですが、日本ではさまざまな問題に突き当たることになります」(伊藤氏)

 伊藤氏は、米国では一般的に社内のシステムエンジニアが開発から運用まで行うため、防御だけでなく検知・対応まで一貫して取り組むことに問題はないと述べます。一方、アウトソース中心の日本では、システムインテグレーターを使って開発を行い、運用も外部に委託するなど、開発と運用は別のシステムエンジニアが担当するケースが多いため、米国のようにシームレスに対応することが難しくなっていると指摘しました。

 「これを解消するための、キーワードになるのがDevOpsです。これを提唱したのはFlickrのエンジニアで、『開発と運用は仲良くしようよ、ONE TEAMでやっていこうよ』というメッセージをDevOpsというキーワードに込めたのが始まりです。

 そうはいっても、ONE TEAMにするのはすごく大変です。日本では運用業務は切り離した子会社化に委託しているといったケースも多くあります。開発と運用が一貫性のある体制に戻すのは大きな組織改革も伴うでしょう。しかし、これをやらなくてはセキュリティ対策は実現しません」

 さらに伊藤氏は「Continuous Improvement」(継続的改善)が大切だと述べます。新しい脆弱性や脅威に迅速に対応するために、継続的に運用を改善できる体制を作る必要があり、そのためには予算の考え方も変えていかなければならないと話しました。

 「従来、開発したシステムを5年間使うといった場合、たとえば初期費用としてシステム開発費用が30億円、リリース後、年間運用費用2億円が5年間で10億円、合計40億円をシステム予算として確保計上する、そういった考え方が一般的でした。しかし、運用費用は開発したシステムを維持するだけのコストです。もし新たなリスクが生じた場合は、対応するための新しい予算を確保しなければならず、とてもスピード感あるセキュリティ対策の実現は望めません。

 今後は、セキュリティは脅かされるという前提のもと、それを織り込んだ年間予算を確保しておくべきです。このような予算の考え方に変えていかないと、検知・運用に必要な継続的な改善はできません」

SHARE

関連記事

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

2021.01.25

IT&ビジネス最新ニュース第101回

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

日本のセキュリティリーダーシップに求められる3つのこと

2020.12.14

IT&ビジネス最新ニュース第89回

日本のセキュリティリーダーシップに求められる3つのこと

DXが進むほどリスクは高まる?エンドポイントで始める新たなセキュリティ対策

2020.12.11

セキュリティ対策に求められる新たな視点第19回

DXが進むほどリスクは高まる?エンドポイントで始める新たなセキュリティ対策

なぜゼロトラストは、リモートワークで増加中の「なりすまし」を防ぐのか?

2020.12.09

セキュリティ対策に求められる新たな視点第18回

なぜゼロトラストは、リモートワークで増加中の「なりすまし」を防ぐのか?

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

2020.11.30

IT&ビジネス最新ニュース第83回

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

2020.11.11

セキュリティ対策に求められる新たな視点第17回

NFLabs.に聞く「セキュリティのトップガン人材」の育て方