サイバーセキュリティにおいて、現在は「圧倒的に攻撃者有利」の時代だ。繰り返されるサイバー攻撃への対応が企業の命運を左右する現在、企業が考えるべきセキュリティ対策について、EYアドバイザリー・アンド・コンサルティング シニアマネージャーの森島直人氏に話を聞いた。今回は最終回(1回)(2回)(3回)。
ーー前回、セキュリティパッチ運用の難易度が増していると説明がありましたが、こうした基本的な対策の運用に役立つとされるインテリジェンスの収集や分析、提供サービスなどどのような観点で利用すべきでしょうか。
EYアドバイザリー・アンド・コンサルティング株式会社 シニアマネージャーである森島直人氏
まずは、インテリジェンスサービスの内容とセキュリティ体制の活動状況との整合性を確保すべきです。例えば、24時間リアルタイムにインテリジェンスを提供されるサービスがありますが、利用する側が9時から18時までしか稼働していなければ無意味ですよね。
こう考えると、結局は、インテリジェンスをもとに脅威へどう対応するのかが決まれば、おのずとインテリジェンス活動自体をどうするかが決まるということが分かります。
対応活動をどのようにするかは、事業の状況や性質に照らしてどこまでのリスクを受容できるかといったバランスであり、まさに最高経営責任者(CEO)や最高情報責任者(CIO)による経営判断です。
24時間対応できる体制を整えるとコストがかかる。9~18時までの対応に限定すれば、夜間のうちに明らかになった状況への初動が遅れるリスクが高まる。このバランスというわけです。
これに限らず、どこまでやってもリスクはゼロにはなりません。どこまでコストをかけてどこまで低減するか、その結果の残余リスクを受容できるかといった経営判断が必要です。
数年前から、インシデント対応チーム(Computer Security Incident Response Team:CSIRT)や、レジリエンス(被害からの復旧)の文脈でいわれている「被害を前提にする」という話は、そこが本質です。
ーーレジリエンスというキーワードは数年前から耳にするようになりました。レジリエンスについて考えを教えてください。
「被害を前提にする」というと、CSIRTを思い浮かべる方も多いかもしれませんが、そもそも企業において重要なことは事業のロバスト性(外的要因に対して影響を受けないこと)を確保することです。
すなわち、インシデントの発生を防ぐことはもちろん、発生した場合でもその影響を最小限にとどめ、事業を継続すること。インシデントが収束すればいいというわけではないのです。