どうする!?企業の情報防衛 ――今本当に必要なこと、講ずべき施策を知る

経営の理解とリスクの可視化

―― お2人のお話をお聞きしていると、情報セキュリティを巡る企業/組織の現状に危うさを感じます。そうした状況を改善するうえでは何が必要と考えますか。

我妻:最も大切なのは、情報セキュリティのリスクに対する経営層の理解を深めることです。実際、その辺りの理解/認識が経営サイドになければ、情報セキュリティ対策は前に進みません。ゆえに、私自身もCISOとして多くのご相談をこれに関して――すなわち、情報セキュリティ・リスクに対する経営層の理解の深化――いただくことが多くなっています。

井上:私は仕事柄、現場のセキュリティ担当と話す機会が多いのですが、彼らはよくこうぼやきます。「大人はわかってくれない」と(笑)。要するに、自分たちが、これだけ多くのサイバー攻撃を受けているにもかかわらず、経営層がなかなかその深刻さを理解せず、現場のオペレーションを効率化するための投資を認めてくれないというわけです。その意味でも、セキュリティ・リスクに対する経営層の理解は是非深めていただきたいですね。

―― ならば、経営サイドのリスクへの理解/認識を深めるには、どうすればよいのでしょうか。

我妻:経営層もITや情報セキュリティのレベルが多様ですので、現実には難しい課題ですが、とにかく情報セキュリティのリスクがどのような経営インパクトを会社に与えうるかを可視化し、それによって情報セキュリティの脅威が自分たちにとって現実かつ切実な問題であることを認識及び理解していただくことが重要ですね。

 その意味でも、私のようなCISOの任に当たる人は、自社のビジネスを理解したうえで、特定の情報セキュリティ・リスクがどのような経営上のインパクトにつながるかをしっかりと把握できなければなりません。加えて、経営層と対話ができる能力や、世の中で変化を鋭敏にとらえる力、さらには内外の情報を収集する力も身につけておくことが重要です。

 さらに、CISOを含めたセキュリティ担当者に求められる能力の1つは、想像力を働かせることです。例えば、何らかの情報漏洩事件やサイバーセキュリティ上の問題が他で発生したという報道がなされた場合等に、「これがもし自社で起こった場合は、どのような影響を被るか」ということを常にイメージし、シミュレートしてみる。そうして描いたシナリオを、投資の根拠に持ち上げることが望ましいですね。

―― そもそも情報漏洩事件に関する報道がこれだけある中で、情報セキュリティ・リスクに対する経営サイドの理解はなぜ上がらないのでしょうか。

井上:情報セキュリティに関しては、本当の意味での精緻なインパクト・アナリシスが難しく、相応の手間とコストがかかるという問題があります。ですので、その部分は極力考えたくないというのが経営サイドの本音なのではないでしょうか。

 インパクト・アナリシスを正しく行うには、まずは経営サイドの号令で情報資産が社内のどこにあるかを把握/リストアップし、そののちに、しかるべき組織が分析を行うという手順を踏む必要があります。ところが日本では、そうしたリスク分析の順序立てがあまり広く浸透しておらず、経営者がIT部門にすべてを丸投げし、IT部門もお手上げの状態になるケースが少なくないようです。

―― とはいえ、経営者の理解が進まなければ、情報セキュリティ管理/対策を巡る日本の状況は好転しません。NICTさんでは何か解決手段をお考えですか。

井上:NICTの場合、セキュリティ・リスクの可視化につながる「現実の脅威の可視化」が大切だと考えています。その考えから、日本に向けたサイバー攻撃の状況をリアルタイムにモニタリングし、グラフィカルに可視化するシステムを開発しました。

 このシステムは、セキュリティ・オペレーションの効率化を主眼に開発したのですが、経営層やビジネスの現場に脅威の深刻さを伝えるツールとしても高い評価をいただいています。ご存じかもしれませんが、サイバー攻撃の検出のためにテキストのログをくまなく調べ上げるというのは、とても大変です。ただし、適切なテクノロジーのサポートがあれば、今どんな攻撃を受けているのかが瞬時にわかり、ひいては、セキュリティ・リスクに対する経営の理解度/認知度を一挙に高めることも可能になります。私たちが開発したシステムは、それを示す一例と言えるのではないでしょうか。また、私たちは、発生したインシデントのインパクトを最小化する目的で、企業の内から外へと向かう攻撃をすみやかに検知し、アラートを発する可視化の仕組みも構築中です。

我妻:そうしたシステムをすべての企業が自社で持てればいいのですが、会社のビジネス規模・人材・コスト・技術力等の観点から、すべての面で充分な資質と能力があるところは多くはありません。そこで、当社のSOC(セキュリティー・オペレーション・センター)のような専門組織を持ったベンダーから情報を得るというのも、可視化に向けた一手と言えるでしょう。また、リスクの重要/非重要の切り分けや分析も専門のベンダーに頼るのが合理的だと考えます。

 加えて、当社のSOCでは、365日/24時間体制でお客様のシステムからあがってくるセキュリティイベントのモニタリングを行っていますので、監視に穴か空く心配もありません。ネット上のトランザクションは昨今膨大であり、人の目で確認できる数には限度があります。ただし、それを技術力で補い、本当に確認しなければならないイベントを効率的に抽出する仕組みを使って、SOCを運用しています。更に抽出されたイベントを、人間の目でも確認し、どれが真の脅威なのかを分析し、対応する必要のあるものだけをリアルタイムでお客様にお知らせしたり、定期的に監視レポートにしてお届けする体制も整っているのです。

2013年上半期の東京SOC情報分析レポートはこちらから

提供:日本アイ・ビー・エム株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2013年11月3日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]