Bizコンパス

セキュリティ対策は「経営責任」とプロが断言する理由
2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

著者 Bizコンパス編集部

「セキュリティはコストではない」経営層は意識の変革を

――では、経営層はサイバーセキュリティ対策にどのように取り組むべきでしょうか。

竹内 まず日本企業独自の課題を捉えながら対策に取り組んでいくことです。日本では長年、セキュリティをコストととらえ、投資に対して消極的な面がありました。その理由として、これまで日本では、セキュリティがコンプライアンス(法令遵守)の側面で捉えられていたためだと思います。たとえば2005年に「個人情報保護法」が施行されましたが、こうしたセキュリティに関わる法律を守っておけばよいという考え方です。

 一方、海外の企業が取り組んできたのは、リスクベースのサイバーセキュリティ対策です。攻撃者が存在し、サイバー攻撃によって情報が盗み出されるという「実在する脅威」にどう対抗するかという観点からセキュリティ対策を進めていた。サイバー攻撃のリスクに国境はありませんから、これからは日本でも、法律を守ったりISO 27001のような認証を取得するだけでなく、リスクに対する具体的な対策をしていく必要があります。

伊藤 加えて、ゼネラリストを育成するキャリアパスの仕組みによって専門性を持ったセキュリティ人材の社内育成やノウハウの蓄積が疎かになっていた面もあります。そのため1990年代後半から専門知見を持った人材の外部流出が進み、日本の企業内ではIT部門の価値が低下し、予算も人もつかない悪循環となっています。IT部門出身のCEOがほとんどいないことからもそれが分かります。

 海外に目を移せば、24時間365日体制で企業のセキュリティを支えるSOC(Security Operation Center)やCSIRT(Computer Security Incident Response Team)で中心的な役割を担っているのは、会社のことをよく知っている50代以上のベテラン社員です。ニューヨーク市立大学ではそういったベテラン社員がキャリアチェンジのためにセキュリティを学べる講座もあります。こういった人材育成を日本の企業がすぐに取り入れるのは難しいので、当面は外部の専門リソースを上手く活用するしかないでしょう。

竹内 それらを踏まえたポイントの1つめは、「運用に対する考え方を変える」ことです。従来のシステムでは、開発後の運用は「維持のためのコスト」と捉えられていました。しかし、新たな攻撃手法が続々と登場するサイバー攻撃からシステムを守るには、その環境の変化に適応できる「運用体制の構築」に積極的に投資をしていかなければいけません。

伊藤 サイバーセキュリティの現状は、すべてのサイバー攻撃を防御するのは事実上不可能であり、いち早く検知し対応することが重要になっています。NISTが公開した「CSF(Cyber Security Flamework)」でも、検知や対応を重視しています。この検知や対応というのは、まさに運用です。変化に適応するための運用では、システムが正常に動作しているかをチェックすることが重要となります。システムがどういった状態にあれば“正常”であるかがわかっていれば、外部からサイバー攻撃を受けたり、内部不正で情報が持ち出されるといった“異常”にいち早く気づくことができます。

竹内 ポイントの2つめは、「足もとを固める」ことです。NISTが公開している文書に「SP800-53」と呼ばれるセキュリティガイドラインがあります。その内容を細かく見ていくと、全部で240項目あるうちの約8割が「運用のための体制作り」と「自社の内在リスクの把握」が占めています。サイバーセキュリティ対策では、標的型攻撃やビジネスメール詐欺など外部からの攻撃に意識が向きがちですが、まず自社の弱点を把握し、それをできるだけ減らしていくことが、限られた予算を効果的に使うポイントになります。

SHARE

関連記事

企業のセキュリティ対策は“アウトソース”がカギ

2019.09.20

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ

自社だけ守っても意味がない!サプライチェーンリスクとの向き合い方

2019.10.28

サプライチェーンのセキュリティは大丈夫か?第3回

自社だけ守っても意味がない!サプライチェーンリスクとの向き合い方

制裁金26億円!?EUの個人情報保護法にどう対応する?

2018.03.19

日本も例外じゃない!5月スタート「GDPR」とは何か前編

制裁金26億円!?EUの個人情報保護法にどう対応する?

IoT普及によりセキュリティ対策はどうすべきか

2018.07.06

2020年に向けたサイバーセキュリティ対策を考える第1回

IoT普及によりセキュリティ対策はどうすべきか