座談会@ZDNet

CSIRT/SOCだけでは意味がない--セキュリティベンダー座談会(3) - (page 4)

怒賀新也 (編集部) 山田竜司 (編集部) 吉澤亨史

2015-11-16 07:00

 データの棚卸しができていれば、それぞれのデータの価値が決まり、その価値に対して何%であれば費用対効果を考慮したセキュリティ対策が取れるといった試算が可能になるわけです。でも実際にはそのように綺麗にはいかないので、難しいですね。

 そしてもうひとつ、欠けてる観点が、インシデントが起こってから収束するまでの、ライフサイクルのようなイメージがなさ過ぎる点です。インシデントが発生したら大変というイメージが強くて、「起こらないようにしよう」と防御の話はする。でも、それだけ。防御で100%抑えることができないことも理解しているのに、です。

 防御で抑えられなかったときにどうするのか、その後の体制が取れていない。防御してもすり抜けてくるのが大前提で、すり抜けたものを捉える仕組みも必要ですし、捉えたものをつぶす仕組みも必要です。さらにその後、通常の状態まで回復しなければなりません。そこまで考えて仕組みを作って初めて完了するわけです。

 そういう考え方があれば、先ほどのようなSOCというハコだけ作っても意味がないことがわかります。もちろん、バランスも必要です。手前の(攻撃があったかどうかを感知する)“センサ”部分が弱かったら議論が先に進みませんし、回復するには体力が必要になります。そういったすべてのバランスを考えていかないと、ライフサイクルを完結できないわけです。でも、そこまでできている企業や組織などはなかなかないですね。


トレンドマイクロ 上級セキュリティエバンジェリスト 染谷征良氏
海外、日本のITセキュリティ業界で、競合分析、製品・技術戦略からインシデント対応など幅広い領域で15年以上の経験を有する。セキュリティ問題、セキュリティ技術の啓発に当たる

染谷氏 ライフサイクルで言えば、万一被害が発生した後のことも重要です。回復という話がありましたが、それ以外にも「今後に向けてどう改善できるのか」「評価すべきポイントは何なのか」といったこともつぶしていかなければなりません。

 単純にサンドボックスを入れて終わり、CSIRT/SOCを構えたから終わりではないと言っている理由は、まさにそこなんですね。国境でのセキュリティにたとえれば、一昔前は入国や出国の審査はX線だけでよかったのですが、今は靴を脱げとかペットボトルを持ち込むなと言われます。犯罪者の攻撃の手法が変わったから。

 もうひとつ、たとえば米国や英国の空港には、かなりごつい国境警察隊がうろうろしています。あれは、いかにテロの予兆を早期につぶしていくかという動きです。攻撃の手法をはじめ多くのものが変化しているので、継続してそれに順応していかなければなりません。それはサイバーセキュリティでも全く同じなんです。それを、いかに継続して運用していくかという考え方がすごく大事です。

 (4)に続く。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

注目している大規模言語モデル(LLM)を教えてください

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]