編集部からのお知らせ
記事PDF集:官民意識のゼロトラスト
電子インボイスの記事まとめ

コロナ禍でのサイバーセキュリティ対策は
多層防御とゼロトラストの両輪で
必須条件は「経営者とビジネス部門を巻き込むこと」

DXで新たに生ずる企業のセキュリティリスク

―加えて多くの企業がデジタルトランスフォーメーション(DX)に向けてITを活用しビジネスモデルを変えていこうとしています。その過程でセキュリティのリスクが顕在化ししてしまい、例えば、実際に新しい金融サービスにおいて不正出金が行われるといった社会問題が起きてしまっています。

 このような事故が起きると、社会でセキュリティの重要性が瞬間的には理解されますが、すぐ忘れ去られてしまいがちです。セキュリティを経営課題と認識する経営者も増えていますが、企業の管理職レベルの全員まで意識が浸透するまでには至っていません。トップダウンで大事だといっても、それが具体的に下に降りていないと感じます。

 また、企業でのセキュリティ対策の指示は、IT部門やセキュリティ部門だけでなく、事業部門にも行き渡る必要があります。DXが起きると対面で行っていたサービスやビジネスがITプラットフォーム上へと移行し、その際に決済もデジタル空間で行われるようになりますから、技術を担う部門だけの取り組みでは対策が不十分で、ビジネスの現場に理解させることも大切です。

―中小企業では逆にトップの理解が足りず、セキュリティを強化するうえでボトルネックになっているケースが見られます。

 中小企業でも代替りをした若い社長は、DXやセキュリティへの理解度が高い傾向にあります。もし社長が高齢の場合なら、後を継ぐ予定の2代目が中心となってセキュリティの取り組みを進めるという形も有効です。

―セキュリティ人材の不足問題なども指摘されていますが、セキュリティ対策を推進するうえで一番の課題は何でしょうか。

 私が携わっているセキュリティプロフェッショナル認定資格制度(CISSP)の有資格者は、ITやセキュリティのベンダーに多く在籍していますが、彼らがユーザー企業に転職しても企業内におけるセキュリティ専門家としての活動の意義がなかなか理解されず、ベンダー側に戻ってしまうというケースが散見されます。セキュリティの人材問題では、まず企業側がセキュリティ対策の重要性を理解することが大切です。

 その上でセキュリティ対策は、企業全体のテーマとして取り組む必要があります。ベースラインとしてのセキュリティ技術があり、使いやすいしっかりとしたツールがあって、それを扱える技術者がいて、組織やビジネスの全体が分かるマネジメント人材がいるという体制を作っていかねばなりません。体制作りが難しいという中小企業の場合は、ベンダーや国家資格の「情報処理安全確保支援士」など、外部のリソースもうまく活用すべきでしょう。

モニタリングの仕組みを作り、組織全体で運用する

―具体的なセキュリティ対策として、技術面での重要なポイントを教えてください。

 常にリスクを見る、モニタリングする仕組みを作ることです。社外で使われる端末が増えていることから、エンドポイントを集約してモニタリングする仕組みがないと、ゼロトラストへの第一歩も踏み出せません。

 その上でアクセスを制御したり、不正を検出したりするわけですが、その際には誰がそれを行うかが大事です。例えば、ある社員が個人情報へ大量にアクセスした場合、IT部門の人には、それが不正行為かどうか断定できません。現場の上司なら、「社員にDMの発送を指示しているので通常業務での行為である」、あるいは、「そのような指示をしておらず社員が辞表を出したので不正行為が疑われる」、といった判断ができます。

 このようにモニタリングした結果を判断するプロセスでは、ITやセキュリティ部門の人にとどまらず、部門長や管理職を含めて意思決定を推進する仕組みを作らないと、不正を定義することができず、ゼロトラストのような考え方に基づくセキュリティ対策は実現できません。

―見方によっては、コロナ禍を契機に大きな変革を実行していくと捉えることもできます。今後しっかりとしたセキュリティ対策を実行していくために、企業はどう動いていけば良いでしょうか。

 DXによってビジネスとITのかかわりが深くなっていくにつれ、セキュリティの重要性も高まっていきます。十分なセキュリティ対策をしなければ、情報が漏えいし、金銭が奪われ、事業継続さえも難しくなりかねません。そればかりか、例えば自動車の領域では、既に人命とセキュリティのバランスを考えなくてはならないところにまで来ています。

 企業はセキュリティが経営課題であることをもっと本気で捉え、それを組織の中に浸透させなければなりません。トップも課題感を演出するだけではなく、自らが範となって態度で示す必要があります。そして、ビジネスの現場にも落とし込めるように、人材を雇用するなど必要なリソースを導入し取り組みを進めていくべきです。トップが本気になれば変わりますから、組織内にも広がっていくはずです。

エンドポイントのESETが開発した使いやすいEDR
セキュリティ製品群との連携でエンタープライズグレードの総合対策

 時代が変わり、企業には新たなサイバーセキュリティ対策が求められるようになった。高度化した昨今のサイバー攻撃への備えとして、総合的なサイバーセキュリティ対策製品群を提供しているのがイーセットジャパンである。

 イーセット社は、1987年にウイルス対策ソフトを開発、以来30年以上にわたってウィルス対策ソフトを提供国内では中堅・中小企業でシェア第3位を誇り、特にエンドポイントセキュリティ製品「ESET Endpoint Protection」や「ESETインターネットセキュリティ」で認知されているが、機械学習やクラウドなどによる多層防御でウィルスの検知精度を高めると共に、昨今の高度な標的型サイバー攻撃に対応できるエンタープライズ向けのセキュリティ製品群をラインアップし、脅威の「予測」「防御」「検出」「対処」を可能としている。

 「ESET Enterprise Inspector」(EEI)は、ESETの強みであるエンドポイント保護から蓄積された情報と経験を基に開発したEDR(Endpoint Detection and Response)製品。EDRは、侵入や攻撃があった際に速やかな検出・分析・対応を可能とするものだが、導入後に自社の状態に合わせてルールの設定や更新を随時行っていく必要があるため、EEIは、管理者が使いやすいインターフェイスを提供。管理者のニーズに合わせ多様な観点から状況を把握できる柔軟性のあるダッシュボードを用意し、自社環境に合わせた検知ルールの最適化とチューニングが容易に行えるという利便性を備える。自社で運用が難しい場合、総販売代理店であるキヤノンマーケティングジャパンが監視サービスも行う。

 さらに、未知の巧妙なウィルスを全自動で検知、分析、除去するクラウド型サンドボックス「ESET Dynamic Threat Defense」も提供。ゼロデイ攻撃のような脅威を数分で自動分析し、遮断する。ESETのエンドポイント製品ユーザーで管理コンソールを利用している場合は、追加のハードやソフトウェア・インストール作業が不要なため、簡単かつすぐに導入できる。これらのESET製品群により企業は、サイバー攻撃対策を高いレベルで実現できる。

提供:イーセットジャパン株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2020年11月30日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]