パッチ適用の改善を検討しているか--ワーム再燃で再考すべきセキュリティ

吉澤亨史 山田竜司 (編集部)

2017-08-23 07:00

 サイバーセキュリティにおいて、現在は「圧倒的に攻撃者有利」の時代だ。繰り返されるサイバー攻撃への対応が企業の命運を左右する現在、企業が考えるべきセキュリティ対策について、EYアドバイザリー・アンド・コンサルティング シニアマネージャーの森島直人氏に話を聞いた。今回は3回目だ(1回)(2回)。

「権限最小の原則」をきっちり守れば、被害を最小限に抑えられる

ーーこれまで、CISOの立場と役割について解説いただきました。また、リスクがなくなる方向に業務を見直すという話がありました。業務といった観点では、内部統制について、情報システム部門と他の部門との連携が話題に上ります。セキュリティを強化する観点ではいかがでしょうか?


EYアドバイザリー・アンド・コンサルティング株式会社 シニアマネージャーである森島直人氏

 内部統制は、セキュリティだけの話ではありません。事業が何を目的としているのかをもう一度整理し、そこからその目的達成のために、どのように業務フローを構築するのか、そのフローの中でどこを自動化していくのか、という話です。

 「手作業だから」「システムだから」と言って切り離して議論していいものではなく、情報システム部門と他の部門がきっちり連携する必要があります。

 内部統制とは、事業の目的を達成するために業務プロセスに組み込まれ、組織のすべての構成員が守らなければいけないルールのことです。

 セキュリティインシデントが発生すると、事業の目的を達成できなくなってしまいますから、セキュリティもつまるところ、内部統制の要素のひとつにすぎません。

 いわゆる日本版SOX(J-SOX)法では「自動化された業務処理統制」とか「手作業による内部統制」といった用語がありますが、セキュリティについても同じです。

 どの部分を自動化するべきで、どの部分を手作業として残すのか。それらを合わせてリスクは許容可能な水準まで低減できているのか。

 第1の防衛線が全体としてどのようにリスク対応しているのかといった観点で、他の内部統制と同様、セキュリティについても情報システム部門と業務部門は互いに連携することが必要でしょう。


3 Lines of Defense Model
出典:”THE THREE LINES OF DEFENSE IN EFFECTIVE RISK MANAGEMENT AND CONTROL“ (2013/01)か らEYにおいて作成

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]