座談会@ZDNet

CSIRT/SOCだけでは意味がない--セキュリティベンダー座談会(3) - (page 4)

怒賀新也 (編集部) 山田竜司 (編集部) 吉澤亨史

2015-11-16 07:00

 データの棚卸しができていれば、それぞれのデータの価値が決まり、その価値に対して何%であれば費用対効果を考慮したセキュリティ対策が取れるといった試算が可能になるわけです。でも実際にはそのように綺麗にはいかないので、難しいですね。

 そしてもうひとつ、欠けてる観点が、インシデントが起こってから収束するまでの、ライフサイクルのようなイメージがなさ過ぎる点です。インシデントが発生したら大変というイメージが強くて、「起こらないようにしよう」と防御の話はする。でも、それだけ。防御で100%抑えることができないことも理解しているのに、です。

 防御で抑えられなかったときにどうするのか、その後の体制が取れていない。防御してもすり抜けてくるのが大前提で、すり抜けたものを捉える仕組みも必要ですし、捉えたものをつぶす仕組みも必要です。さらにその後、通常の状態まで回復しなければなりません。そこまで考えて仕組みを作って初めて完了するわけです。

 そういう考え方があれば、先ほどのようなSOCというハコだけ作っても意味がないことがわかります。もちろん、バランスも必要です。手前の(攻撃があったかどうかを感知する)“センサ”部分が弱かったら議論が先に進みませんし、回復するには体力が必要になります。そういったすべてのバランスを考えていかないと、ライフサイクルを完結できないわけです。でも、そこまでできている企業や組織などはなかなかないですね。


トレンドマイクロ 上級セキュリティエバンジェリスト 染谷征良氏
海外、日本のITセキュリティ業界で、競合分析、製品・技術戦略からインシデント対応など幅広い領域で15年以上の経験を有する。セキュリティ問題、セキュリティ技術の啓発に当たる

染谷氏 ライフサイクルで言えば、万一被害が発生した後のことも重要です。回復という話がありましたが、それ以外にも「今後に向けてどう改善できるのか」「評価すべきポイントは何なのか」といったこともつぶしていかなければなりません。

 単純にサンドボックスを入れて終わり、CSIRT/SOCを構えたから終わりではないと言っている理由は、まさにそこなんですね。国境でのセキュリティにたとえれば、一昔前は入国や出国の審査はX線だけでよかったのですが、今は靴を脱げとかペットボトルを持ち込むなと言われます。犯罪者の攻撃の手法が変わったから。

 もうひとつ、たとえば米国や英国の空港には、かなりごつい国境警察隊がうろうろしています。あれは、いかにテロの予兆を早期につぶしていくかという動きです。攻撃の手法をはじめ多くのものが変化しているので、継続してそれに順応していかなければなりません。それはサイバーセキュリティでも全く同じなんです。それを、いかに継続して運用していくかという考え方がすごく大事です。

 (4)に続く。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI を活用した革新的な事例 56 選 課題と解決方法を一挙紹介

  2. ビジネスアプリケーション

    生成 AI の可能性を最大限に引き出すためにできること—AI インフラストラクチャの戦略ガイド

  3. ビジネスアプリケーション

    業務マニュアル作成の課題を一気に解決へ─AIが実現する確認と修正だけで完了する新たなアプローチ

  4. ビジネスアプリケーション

    調査結果が示す「生成 AI 」活用によるソフトウェア開発の現状、ツール選定のポイントも解説

  5. ビジネスアプリケーション

    ITSMに取り組むすべての人へ、概要からツールによる実践まで解説、「ITSMクイックスタートガイド」

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]