ユーザー企業のセキュリティ人材
ユーザー企業も、そろそろ本気で社内におけるセキュリティ人材の育成と、人材によって保たれるセキュアな環境を構築するための体制整備を行うべきだ。その実現のために最も重要なのは、的確なセキュリティ対策を実施するための情報収集になる。
例えば、攻撃手法のトレンドや新たな脆弱性の情報などは、情報処理推進機構(IPA)やJPCERT コーディネーションセンター(JPCERT/CC)、日本ネットワークセキュリティ協会(JNSA)といった公共の組織が発信している。それ以外のセキュリティベンダーも個別に情報を発信しているし、著名な「セキュリティエバンジェリスト」と呼ばれる人の中には、個人で集めた情報を発信している。
ただし、溢れるほどの情報をそのまま受け取るだけでは役に立たない。脆弱性や攻撃手法などの情報が自分たちのシステム環境にとってどれだけ脅威なのかを判断しなければならず、判断するための情報の精査が必要だ。
情報を精査する方法は幾つかある。その一つがセキュリティのコミュニティーへの参加だ。数多くのセキュリティのコミュニティーがあるが、中でも「日本シーサート協議会(NCA)」をその一番手としたい。NCAは、CSIRT(Computer Security Incident Response Team)と呼ばれるセキュリティインシデント対策に取り組む人々のコミュニティーであり、サイバー攻撃を受けた際の対処方法などの非常に貴重なノウハウが蓄積されている。そして、なにより同じ悩みを持つユーザー企業の割合が多い。まずは、その先人たちの知恵を借りる形で社内にCSIRTを作り、セキュリティ対策のノウハウを溜め込んでほしい。
しかし注意すべきは、CSIRTの設立がゴールではないということだ。CSIRTを設立しただけでは何も解決しない。CSIRTはインシデント発生時に対応するための情報を収集し、的確な意思決定を支援するに過ぎない。その情報をもとにしてユーザー企業が自主性を持った対応をすることがゴールであり、目的だ。CSIRTはその手段でありパーツでしかない。正確な情報があって的確な意思決定ができる。このプロセスこそ、自分を自分で守れる強固な体制づくりの目的なのだ。
また、このようなコミュニティーへ積極的に協力することも必要不可欠だ。それをしないで情報だけをもらいたがる“タダ乗り”行為はコミュニティーを衰退させる。何よりもコミュニティー活動へ積極的に参加し、自社の情報も発信することが、自社のセキュリティ人材を育成する近道となる。
2020年の東京オリンピック・パラリンピックに向けて、ベンダー企業でさえセキュリティ人材の確保に苦労している。セキュリティ人材の絶対数が不足し、ベンダー間での取り合いになっているため、ユーザー企業が外部からセキュリティ人材を採用することも当然ながら難しい。セキュリティ人材は育成するしかないのだ。インシデント発生時の対応を含む的確なセキュリティ対策ができるセキュリティ人材は、全般的なシステムプラットフォームの知識を持っている必要がある。そのような人材をユーザー企業で育成するのは難しいだろうが、高度な技術スキルが必ずしも必要なわけではないので、不可能ではないだろう。
まずは組織の中で守るべきものを定義し、そのためにシステム環境や業務、機密情報を棚卸し、整理をしよう。そして、上記に示したようなコミュニティー活動を通じて情報収集による的確な意思決定や対応を行えるようになろう。その上で、社内ではまかない切れない高度な技術が必要な分野はベンダーに依頼すべきだ。
「なんだ、結局はベンダーに依頼するのか」と思われるかもしれないが、上記のようなセキュリティ要件を自社で定義できれば、依存ではなく依頼となる。この差は決して小さくなく、ここでの苦労や努力が将来に大きな成果となって帰ってくるはずだ。
次回は、ユーザー企業が自立してセキュリティ対策を実行するために必要なパーツであるセキュリティベンダーについて記していく。
- 武田 一城(たけだ かずしろ)
- 株式会社ラック 1974年生まれ。システムプラットフォーム、セキュリティ分野の業界構造や仕組みに詳しいマーケティングのスペシャリスト。次世代型ファイアウォールほか、数多くの新事業の立ち上げを経験している。web/雑誌ほかの種媒体への執筆実績も多数あり。 NPO法人日本PostgreSQLユーザ会理事。日本ネットワークセキュリティ協会(JNSA)のワーキンググループや情報処理推進機構(IPA)の委員会活動、各種シンポジウムや研究会、勉強会での講演なども精力的に活動している。
