情報を守れ--複雑化するセキュリティ課題にどう対処すればいいのか(ZDNet Japanセミナーレポート) - (page 2)

齋藤公二 (インサイト)

2014-11-18 17:24

「防ぐだけではなく、気付くための仕組み作りを」ディアイティ河野氏

 特別講演には、ディアイティ セキュリティサービス事業部 河野省二氏が登壇。「今年発生した重大な情報漏洩事故から学ぶ 被害を最小限にするための情報管理とガバナンス」と題し、経営者がどのように情報セキュリティを考え、効果的な対策を講じていくかについて、数々のヒントを紹介した。

 河野氏は、経済産業省のクラウドセキュリティ研究会やセキュリティガバナンス研究会、IPAセキュリティセンター研究員などを兼務し、政府が発行する各種ガイドライン作成にも関わる、セキュリティの制度設計や監査、啓発のスペシャリストと呼べる存在だ。

 同氏はまず、最近の情報セキュリティ事故のおさらいとして、ベネッセグループからの約3500万件とされる情報窃盗、日本航空(JAL)に対して起こったウイルス感染による約1万件のデータ不正送信、その他のアカウントリスト型攻撃による不正アクセスを紹介。これらの問題の“本質”として、顧客から問い合わせがあるまで1年以上犯行に気付かなかったこと(ベネッセ)、ウイルス対策ソフトで検知できずウイルスの種類も感染経路も不明だった(日本航空)にあると指摘した。


ディアイティ
セキュリティサービス事業部
河野省二氏

 「インシデント管理の原則は、被害の極小化にある。事故が発生しても影響がでないような仕組みをつくることが大切だ。また、影響を少なくするためには“事故に気付く”体制作りも欠かせない」と河野氏。最近の事故は、この仕組みや体制が整っていないことに問題があるわけだ。

 特に内部犯罪の場合は、犯行に至る動機がギャンブルや交際費であることも多く、そうした場合、他人に気付かれるまで、永遠に犯行を続けることになるという。では、誰よりも早く異常に気付くための情報セキュリティの体制作りは、どう進めればよいのか。

 まず必要なのは、現場で起こっていることを経営陣が把握できるようにすることだ。具体的には、情報セキュリティに関する指示は経営陣が行うこととし、すべての報告(情報)は経営陣に集まるような組織に作り変えることだ。

 また、異常を検知できるようにするためには、日常を知ることが欠かせない。単に「ウイルス感染したかどうか」だけではなく、日常と違う振る舞いが起こっていないかから逆に感染の有無を調べるといった発想の転換が必要だ。システムだけでは気付かないことも多い。そこで、たとえば、特権が必要な業務について申請を必須にし、申請内容を超えた作業が行われた形跡がないかをチェックすることも有効だという。


※クリックすると拡大画像が見られます

※クリックすると拡大画像が見られます

 そのほかにも、情報のラベリングを適切に行うこと、情報のコピーを増やさずに一元管理できるようにすること、情報セキュリティの目的を明確にし、業務ベースで対策を実施するといったポイントを挙げた。

 最後に河野氏は、「情報セキュリティをどこまでやるか」という、どの企業も悩む課題についても言及した。ポイントは、起こってしまった場合の影響度を具体的なコストとして計算することだ。

 河野氏によると、日本企業では、重要な情報について「可用性」「完全性」「機密性」のうち、機密性を重視した対策に終始しがちだ。漏れないように万全の対策を施そうとするため、際限がなくなる。そこで「漏れることを前提に、その場合の影響度をベースにして、ときにはリスクを受け入れるという選択肢を含めて、リスクマネジメントを行っていくことが重要になる」と強調した。

 朝日インタラクティブは本記事の講演資料を、こちらで公開している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]