企業セキュリティの歩き方

ざんねんなセキュリティ--経営責任の丸投げを目的とした「名ばかりCSIRT」

武田一城

2022-03-25 06:00

 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

 前回は、「機能しないIDS/IPS」をテーマに、本来の機能を発揮できない“ざんねんな”セキュリティ製品の状況を述べた。IDS/IPS(不正侵入検知/防御システム)は、それ以前のファイアウォールなどと異なり、「検知アラートの対応」というユーザー側の運用が必要だった。多くの企業では適切に運用できず、その結果、機能しないセキュリティ製品が稼働し続ける状態を招いた。

 今回は、近年急激に注目が高まった「Computer Security Incident Response Team(CSIRT)」にフォーカスして、“ざんねん”なセキュリティ対策の状況を述べてみたい。

セキュリティエンジニアが脚光を浴びた2010年代

 サイバー攻撃の脅威が叫ばれ、セキュリティ対策の重要性が世の中に強く認識されるようになったのは、それほど昔のことではない。サイバー攻撃が金もうけになることが分かると、悪意を持つ人間らによってビッグビジネス化する様相を見せた。これに対抗するように、防御側において高度な攻撃手法にも対応できる多種多様なセキュリティ製品・サービスが本格的に普及したのは、2010年代になってからだ。

 もちろん、それ以前でもセキュリティ対策が軽視されていたわけではないが、高度な手法のサイバー攻撃に対応するには、センサーのように攻撃を検知する仕組みを作らざるを得なかった。そうすると、それを運用(アラートへの対応など)できる人材が必要になるが、少し前の企業にそのようなスキルを持つ人材はいなかった。そのため、前回述べたように、せっかくの高度なセキュリティ製品・サービスが全くのムダになってしまうことが珍しくなかった。

 一般企業でセキュリティ専任のエンジニアを採用できるのは、その専門性に見合う報酬を用意できる大企業でなければ難しい。さらに、一般企業にはセキュリティエンジニアのキャリアパスが存在せず、現在の「最高情報セキュリティ責任者(CISO)」のような、セキュリティに関して責任を担う役員などもいなかった。

 また、ほとんどの一般企業には、セキュリティ対策を専門とする部門も存在しなかった。そのような企業では、セキュリティエンジニアは情報システム部門の担当者の一人として所属することになる。情報システム領域の一部となれば、セキュリティの業務をいくら極めても部長にすらなれない。セキュリティエンジニアにとっては不遇の時代が長く続いた。

 その状況を一変させたのが、2011年に発生した日本の防衛産業を狙う標的型サイバー攻撃事件である。この事件は、厳重に管理されているはずの国家機密(にもなり得る軍事機密)がサイバー攻撃者に狙われたものだ。事件のポイントは、高度な技術を持つ攻撃者が、時間と手間を惜しむことなく執ように攻撃を行えば、相手がどんな組織であろうと目的は十分に達成可能だと証明したことだ。当事者である防衛産業から公式発表はないものの、この事件がその後の日本市場におけるサイバーセキュリティ対策の大前提となった。

 一般企業とは段違いの高度なセキュリティ対策をしていた防衛産業の大企業ですら攻撃に遭うという事実によって、多くの一般企業も本気でセキュリティ対策に取り組まざるを得なくなった。つまり、平和な日本も地球の裏側からサイバー攻撃者に狙われるリスクがあるという事実を経営者は無視できなくなったのだ。

 このようにして、サイバー攻撃から自組織を守るためのセキュリティエンジニアと、高度な防御を実現するセキュリティ対策が急激に脚光を浴びるようになった。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]