IoTセキュリティで無難な対策はITとOTの「分離」--デロイトトーマツ

吉澤亨史 2017年01月30日 07時00分

  • このエントリーをはてなブックマークに追加

コーポレートガバナンス・コード対応が進まない要素とは

 デロイトトーマツ サイバーセキュリティ先端研究所(DT-ARLCS)とデロイト トーマツ企業リスク研究所は1月18日、記者向け勉強会を開催した。2015年に施行されたコーポレートガバナンス・コードとサイバーセキュリティという2つのテーマで企業の対応状況の実際を解説した。


デロイトトーマツ企業リスク研究所の主席研究員である杉山雅彦氏

 デロイトトーマツ企業リスク研究所の主席研究員である杉山雅彦氏は、「2年目を迎えるコーポレートガバナンス・コード対応における企業の取り組み状況」を解説した。コーポレートガバナンス・コードは、実効的なコーポレートガバナンス(企業統治)を実現するための原則をまとめた上場企業向けの指針で、2015年6月に金融庁と東京証券取引所により策定された。

 杉山氏は、東京証券取引所が発表した対応状況を示し、9割以上実施している企業が2015年12月の78.0%から2016年7月には84.5%までに増加しており、浸透しつつあるとした。9割に満たない項目をみると、第4章「取締役会等の責務」に関するものが多いという。具体的には、2人以上の独立社外取締役に関する項目が対応できていなかった。

 また、同社が2016年3月に発表した取締役会実態調査アンケートでは、取締役会が入手すべき情報として不足しているものに「最高経営責任者等の後継者の計画(プランニング)の進捗状況」「決定した重要な業務執行の推移(設備投資・M&Aなど)」が挙げられており、独立社外取締役に必要な経験・知見として重視する項目に「コンプライアンス・法務に関する知見」「リスクマネジメントに関する知見」があることに注目した。

 さらに杉山氏は、企業におけるサイバーセキュリティの重要性に言及、最近では"デジタル・ディスラプション"が米国を中心に意識が高まっているとした。これは「デジタルテクノロジによる破壊的創造・破壊的イノベーション」と訳されるもので、企業のITリテラシーの低さがサイバーセキュリティを脅かすとし、特に若い世代への教育が重要であるとした。

経営者が知っておくべきサイバーセキュリティトレンドと対策


デロイトトーマツ サイバーセキュリティ先端研究所 所長 丸山満彦氏

 DT-ARLCSの所長である丸山満彦氏は、「経営者が知っておくべきサイバーセキュリティトレンド2017」を解説した。丸山氏はセキュリティを取り巻くキーワードとして、特にわかりづらいクラウドサービスのセキュリティレベルなどの「ガバナンス強化」、米政府がランク付けを行いはじめた「総合対策」、セキュリティ対策に軍隊の考え方を取り入れた「軍事的メソドロジ」、クラウドをいかに選ぶかという「クラウドファースト」の5つを挙げた。

 また、2017年のポイントを5つ挙げた。1つ目は「監視の強化」で、これまでネットワークの境界だけで侵入防御システム(IDS)/侵入検知システム(IPS)による対策から、端末やアプリケーションを含めた監視が必要となる。具体的には、サーバやネットワーク機器などで出力されるログをセキュリティイベント情報管理(SIEM)システムで分析するセキュリティ監視センター(SoC)のサービスが増えるとした。

 2つ目のポイントは「インテリジェンスの活用」で、これまでも攻撃者や攻撃手法などの情報を収集し、セキュリティ対策に活用するケースはあるが、米国では企業や取締役、家族まで含む評価情報をSNSだけでなくダークウェブから収集し分析、活用するサービスが増えてきており、従来は対象とされていなかった情報もインテリジェンスに活用するケースが日本でも出てくるとした。

 3つ目のポイントは「攻撃者の視点に立った防御モデルの構築」で、これは企業を構成する「フィジカル」「ヒューマン」「サイバー」の3要素を考慮して企業の弱い部分を洗い出す必要があるというもの。たとえば、物理的な入退室管理システムに抜け道がないか、パスワードやファイルの保存場所が推測できないかなどを調べるもので、2017年はフィジカルも含めて擬似的に侵入して、情報セキュリティ体制をテストする“レッドチーム”の需要が増えるとした。

 4つ目のポイントは「ITからIoTまで」で、これまでは情報システム(IT)と制御システム(OT)はそれぞれ独立していたが、今後はIoTの普及によりOTもインターネット接続される。そのためIoTを含めた総合的なセキュリティ対策が必要となる。現在、現実的な対策の主流は「インターネット分離」であり、ITとOTを効率的に分離することが重要になるとした。


産業用制御システムは容易に対策ができない

 5つ目のポイントは「ベンダーセレクション」で、これは利用が広がるクラウドサービスにおいて、安全性を総合的に判断し安全な事業者を選ぶことが重要になるというもの。特にクラウドサービスを提供するベンダーのセキュリティ対策を調べてランク分けを行い、利用する内容や対象によって使い分けをするケースも増えていくとした。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]