情報漏えい対策の現実解、実証中の新手法とは--ZDNet Japanセミナー

ZDNet Japan Staff 2016年08月16日 07時30分

  • このエントリーをはてなブックマークに追加

 朝日インタラクティブは7月13日、「ZDNet Japan × TechRepublic Japan 情報漏えい対策セミナー」を開催した。ここでは、ディアイティクラウドセキュリティ研究所 所長の河野 省二氏の基調講演と、東京大学大学院情報理工学系研究科ソーシャルICT研究センター 次世代個人認証技術講座 特任准教授の山口利恵氏による特別講演の模様をお伝えする。

 日本年金機構が個人情報125万件を流出してから1年。最近では、JTBが793万件という膨大な数の個人情報を流出するなど、情報漏えい事故が止まらない。いずれも外部からの標的型メール攻撃を受けての被害とされている。だが、事故の本質は攻撃だけだったのか。河野氏による基調講演「他社の情報漏えい事故から学ぶ自己点検と自己防衛のための基盤づくり」では、情報セキュリティ対策の有効性と事故対応のポイントを解説した。

「従業員を守るIT基盤の構築を」ディアイティ河野氏

河野省二氏
ディアイティ クラウドセキュリティ研究所 所長 河野省二氏

 河野氏は冒頭、「残念ながら、サイバーセキュリティ事故から学ぶことは少ない」と指摘。その理由について「学びを得るためには、事故の原因を究明しなければならないが、それが難しいこと」「正しい対策には正しい情報を得なければならないが、それが難しいこと」の2つを挙げた。

 実際、多くの企業は既にセキュリティ対策を講じているにもかかわらず攻撃を受けており、攻撃を受けたことにすぐに気づかないことが多い。また、サイバーセキュリティ事故はほとんどの場合、犯人はつかまらず、犯人からの報告も基本的にはない状況にある。そうしたなか河野氏が提案するのが「日々のプロセスにセキュリティを組み込むこと」だ。

 「セキュリティ事故が起こったときに対策を検討するのではなく、通常の業務をしっかり実施していれば特別なセキュリティ対策はいらないという認識を持つことが重要です。例えばWindowsに脆弱性が発覚したとき、それを修正するプログラムを適用します。同じことを日々の業務のなかに取り入れ、業務を改善していくのです」(河野氏)

 河野氏によると、情報セキュリティ活動とは、平常時に対策が期待通りに機能しているかをチェックし続け、事故が起こったときは、それらを封じこめ、調査・分析を行うとともに再発防止の計画を立て、さらにその対策が期待通りに機能しているかをチェックし続ける活動となる。「業務が改善していなければ、同じ問題を繰り返す可能性がある」(同氏)のだ。

情報セキュリティ活動

 その上で、河野氏は、インシデントレスポンスのポイントや、対策を期待通りに行う際に必要となる考え方、組織体制やガバナンスで求められることなどを解説していった。

 インシデントレスポンスに失敗しないためのポイントとしては「被害者への対応を迅速に行うこと」「十分な情報を持たずに発表するようなことはせず、メディア対応は1回で終わらせること」「個人情報の定義など、再発防止に役立つ情報を明確化すること」を挙げた。

 また、考え方については「個人情報を守りたいのに、個人情報が何でどこにあるのかもわかっていないケースがあります。たとえば、メールアドレスは個人情報なのか、メールアドレスが記載された名刺は個人情報なのかといったところから情報管理をはじめる必要があります」とした。

 ガバナンスについては、難しいパスワードや不審メールの判断など、ダメなマネジメントは責任を末端に集中させると指摘し、上が責任を取る良いマネジメントが必要だと強調。そのために必要となるのは、適切な情報収集と判断であり、ITを活用して「判断の明確化」と「効率化」による生産性向上が期待できるとした。

インシデントレスポンス
ITとセキュリティ

 河野氏は「エビデンスを残してセキュリティのPDCAサイクルに生かしていくことが重要です。そのためにはIDマネジメント、ログマネジメントが必要になってます。ITをうまく活用して、従業員を守るIT基盤を構築していってほしい」と訴えた。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]