大手企業の責任者に聞く--サイバー攻撃対策の実態

齋藤公二 (インサイト) 田中好伸 (編集部) 怒賀新也 (編集部) 2015年05月27日 07時00分

  • このエントリーをはてなブックマークに追加

セキュリティは経営課題に

 標的型攻撃に代表される巧妙なサイバー攻撃により、企業の規模、業種、業態を問わず、さまざまな被害が報告されるようになってきた。

 企業は、どのようにセキュリティ対策に取り組み、今後リスクにどう対処していくべきか。ZDNet Japan編集部は、各分野において日本を代表する企業3社、4人のIT責任者を集め、詳しく話を聞いた。

ZDNet セキュリティは経営リスクという考え方が広がってきました。セキュリティをIT部門にすべて任せるのではなく、経営の合意のもとビジネスと一体として行うことが重要だとの考えです。まずは、セキュリティ対策としてどんな取り組みを行っているのかそれぞれ紹介していただけますか。

JFEスチール 新田哲氏。IT改革推進部部長。IT全般を担当。「セキュリテイ対策のスパン、打ち手をどう考え実施していくかが中心課題。情報セキュリティの専任担当者の任命やCSIRT設置などに取り組んでいる」
JFEスチール 新田哲氏。IT改革推進部部長。IT全般を担当。「セキュリテイ対策のスパン、打ち手をどう考え実施していくかが中心課題。情報セキュリティの専任担当者の任命やCSIRT設置などに取り組んでいる」

JFEスチール 新田氏 われわれは素材メーカーということもあり、一般消費者としてのお客様の個人情報を大量に保有しているわけではありませんが、情報漏えいのリスクは小さくありません。特に、企業理念に「常に世界最高の技術をもって社会に貢献します」とあるように、技術情報の漏えいは大きなリスクと考えています。また、グローバルで素材を提供していますから、システムダウンによる操業やサプライチェーンへの影響も大きなリスクです。

 会社の統合時に、基幹システムを一元化しました。国内2つのデータセンターでBCP対応を行うと同時に、セキュリティ対策を共通化しています。またインシデントに対して的確でスピーディーな対応をとるためCSIRT組織も設立しています。

ZDNet サッポロさまはどうでしょうか。業種的に個人情報を数多く取り扱うと思います。

サッポロHD 芝崎氏 まず、システムのセキュリティ対策の前に実施するべき取り組みとして、重要な情報の区別とランク付けをしています。例えば、食品などは発売されるまでは秘密にすべき重要な情報ですが、発売されてしまうと誰もが知っている情報に変わります。会社にとって、とりわけ重要な情報は何なのかを探っていくと、実は、それほど種類は多くないというのが正直な感想です。


サッポロホールディングス 芝崎章太郎氏。グループリスクマネジメント部グループリーダー。「情報保護、内部不正、コンプライアンスを担当。グループITに所属していた経験があり、情報セキュリティとともにIT全般も見ている」

 重要な情報というのは、企業の存続にかかわるもの、株価に影響を与えるものなどです。ITやセキュリティはあくまで事業の目的を達成するための手段ですから、それを目的に事業を止めてしまうようなことはしたくない。セキュリティで安全に事業を遂行できるようなベースをつくることを基本的な考え方にしています。

事業の足かせになるセキュリティ対策は本末転倒

ZDNet 標的型攻撃などへの対策についてはどうですか。

芝崎氏 標的型攻撃のためだけのセキュリティ対策は取っていません。情報の重要度に応じて、入口対策、出口対策、ログ取得、社内教育といった対策を実施しています。標的型攻撃は、ある意味では完璧に防ぐことができません。情報をランク付けし、被害を最小限にとどめる対策にするほうが効果があると考えています。

三菱マテリアル 村木氏 当社も、Windowsのパッチ当てやウイルス対策ソフトの更新など、基本的なところを徹底する方法です。ただ、やりなさいというだけでは抜けてしまいます。人の対策と技術的な対策はクルマの両輪。技術的な対策として、適切な環境でなければネットワークにつなげないような制御の仕組みを導入しています。


三菱マテリアル 木下氏 取り組み全般では、きっちりとした定義付けがポイントだと考えています。グローバル、セキュリティ、ガバナンスなどと言っても、具体的に何を指すのか不明確です。当社にとってのグローバルとはなにか、セキュリティは何か、ガバナンスは何かをまずは定義することから初めています。例えば、グローバルで、どういうガバナンスを効かせたいのか、それは国ごとなのか、エリアごとなのか、あらかじめ定義しておくことで、対策にブレがなくなります。

 セキュリティのポリシーについても、一度決めたから永遠ということはありません。事業を妨げるルールでは本末転倒なので、事業を進めるための最善のルールを模索しながら、対策を打っている状況です。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]