変化の時代のセキュリティ対策で重要なのは、情報収集と分析、コミュニケーション、人材の確保――オリックス銀行 鈴木智之氏:ITmedia エグゼクティブセミナーリポート(1/2 ページ) – ITmedia エグゼクティブ
変化の時代のセキュリティ対策で重要なのは、情報収集と分析、コミュニケーション、人材の確保――オリックス銀行 鈴木智之氏:ITmedia エグゼクティブセミナーリポート(1/2 ページ)
コロナ禍でテレワークが常態化する中、サイバーセキュリティのリスクはさらに増大し、一般的な境界防御型のセキュリティでは対策が困難になりつつある。より実践的で効果的なサイバーセキュリティを追求するためのヒントとは。
[山下竜大,ITmedia]
オリックス銀行 情報セキュリティ統括部長 鈴木智之氏
アイティメディアが主催するライブ配信セミナー「ITmedia Security Week 2022 夏:長引くコロナ禍でサイバー攻撃も加速 再点検、“新常態”のサイバーセキュリティ対策」のDay1基調講演に、オリックス銀行 情報セキュリティ統括部長の鈴木智之氏が登場。「変わること・変わらないこと~「変化の時代」のサイバーセキュリティマネジメント」をテーマに講演した。
セキュリティに関する悩みは多くの企業で共通
鈴木氏は、「セキュリティ対策には、常に存在する課題、変化への対応という大きく2つの悩みがあります」と話す。
セキュリティに関する悩みは、多くの企業で共通している。例えば常に存在する課題として、自社のセキュリティ対策は十分なのか、セキュリティ対策がビジネスを妨害していないか、対策への投資は適切か、経営者の理解をどう高めていくか、社員やユーザーのセキュリティ知識をいかに向上させるか、セキュリティ人材をどのように育成・採用するかなどがある。
また変化への対応として、自社の対策は新しい脅威に対応できているか、競業他社に比べて遅れていないか、セキュリティ対応のゴールはどこか、セキュリティポリシーはこのままでよいか、グループ企業や取引先のセキュリティは大丈夫かなどがある。
セキュリティに関する変化としては、大きく2つ。1つ目は世の中や自社を取り巻く状況の変化であり、2つ目はセキュリティ自体の状況の変化だ。世の中や自社を取り巻く状況の変化には、コロナ禍や地震、風水害などの自然環境・疫病、ロシアとウクライナの紛争や東アジアの政治状況などの国際情勢、欧米の政治状況などがある。
一方、セキュリティ自体の状況の変化には、脅威の動機やインパクト、攻撃手法・技術などがある。セキュリティの位置付け、重要性が変化し、インパクトの大きさを考えると、すでにITだけの問題ではなく、経営の問題といえる。これに伴い、サイバーセキュリティの担い手も変化する。以前はIT担当者やセキュリティ担当者の問題だったが、一般ユーザーはもちろん、経営層や業務担当者、取引先も含めた課題となる。
セキュリティ自体の変化は、脅威の動機やインパクト、攻撃手法・技術など。
鈴木氏は、「社会やITの環境の変化、セキュリティ自体の影響の重要性の変化を考えると、セキュリティの位置付けや重要性など、セキュリティを取り巻く変化が起きていると言わざるを得ません。変化が起きている以上、ユーザー企業としても対応が必要です」と話す。それでは、変化とは何か。そもそも対応は必要なのだろうか。
既存の対応でカバーできるものと新しい対応が必要なものを見極める
セキュリティ自体の変化で、最近特に話題になっているのがEmotet(エモテット)やランサムウェアの大流行である。Emotetやランサムウェアの挙動、感染経路などを分解してみると、感染経路は取引偽装メールやOfficeファイルマクロ、Windowsの脆弱性などで、ファイルの暗号化やWeb経由で情報を漏えいするなどの挙動が確認されている。鈴木氏は、「感染経路や挙動までを解析すると、新たに必要な対策もありますが、すでに自社でできている対策もあることが分かります」と話す。
セキュリティの新技術の採用にも変化がある。昨今、ゼロトラストが注目されているが、ゼロトラストには、VPNやSSO、CASB、EDRなど、さまざまなソリューションがある。ゼロトラストは、社内を含めた通信を保護する、最小権限に認可をする、アクセスの都度認証する、全ての機器を対象にするなど、NIST SP 800-207の7つの基本原則に基づいており、この原則に基づくと、セキュリティの新技術も、実は既存の技術でカバーできている部分と追加の対策が必要な部分に分けることができる。
セキュリティ新技術の採用の変化で注目されるゼロトラスト。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmedia エグゼクティブのご案内
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。ぜひこの機会にお申し込みください。入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。【入会条件】上場企業および上場相当企業の課長職以上
変化の時代のセキュリティ対策で重要なのは、情報収集と分析、コミュニケーション、人材の確保――オリックス銀行 鈴木智之氏:ITmedia エグゼクティブセミナーリポート(2/2 ページ) – ITmedia エグゼクティブ
変化の時代のセキュリティ対策で重要なのは、情報収集と分析、コミュニケーション、人材の確保――オリックス銀行 鈴木智之氏:ITmedia エグゼクティブセミナーリポート(2/2 ページ)
[山下竜大,ITmedia]
「新しい技術に対して新しい対策も必要ですが、過去に経験した問題点や課題とは分けて考えることが必要です。一言で変化といいつつも、新しい対応が必要なものと、既存の対応やその充実でカバーできるものがあります。これらを分けて考えることで、変化に柔軟かつ適切な対応をすることができます。重要なのは、まずはセキュリティの目的や現状、リスク、必要性などをしっかりと意識したうえで、情報を収集し、一方で自社の現状を把握することです」(鈴木氏)
多くの人との情報交換がセキュリティの向上につながる
変化に対応するセキュリティ管理で重視することとは何か。鈴木氏は、「必要な水準と比較して、しっかりとした対策を実施することが変化に対するセキュリティ管理の基本です。さらに大事なのは、変化に対する情報の収集や人材の確保、関係者とのコミュニケーションです。変化への対応では、まずセキュリティに対する共通認識と現状把握をしっかりとすることが必要になります」と話す。
必要な水準と比較してしっかりとした対策を実施すること。
セキュリティ担当者は、自社にどのような情報資産があるか、セキュリティ基準のどこが足りないのか、脅威があることを理解して、セキュリティ部門以外の経営者や業務部門の担当者と話をすることが必要。このとき、自社の経営課題や経営戦略は何か、商品やサービスは何かを踏まえて、自社のセキュリティの目的や位置付けを経営者や業務部門の担当者、ユーザーと認識を合わせることが重要になる。
自社の情報資産の把握やセキュリティ対策では、社内だけでなく、社外やお客さまなどともコミュニケーションをして認識を合わせておき、どのようなセキュリティ上の目標をたてるかが重要。そして大事なのは、情報収集と分析だ。
特に脆弱性情報や脅威情報は、ベンダーから提供されることが多いが、ベンダー情報だけでなく、業界内やセキュリティ担当者の横のつながりによる情報収集が必要。2022年5月に情報処理推進機構(IPA)がサプライチェーンのセキュリティ対策状況のレポートを公開したが、セキュリティの状況や脆弱性情報、攻撃手口などを共有できていない業界があると報告されている。
「隣の会社が受けた攻撃は、自社も受けると考えて対策をすべきという観点での業界内の情報共有が必要です。情報を収集するだけでなく、分析することも必要。セキュリティチームのリーダーだったとき、メンバーに1日1時間はWebで情報収集し、分析する時間とするよう勧めていました。毎日、新しいセキュリティ情報や自社の商品などを分析し、セキュリティ対策の必要性を検討する時間を設けることが有効です」(鈴木氏)。
情報収集と分析の次に対策を実施するが、IT部門が管理していたシステムに関しては基本的な対策ができていることが重要になる。問題はクラウド上のシステムやRPA、テレワーク機器、仕入先/委託先のシステムなども対策ができているかである。また、部門では対策できているが全社は分からない、国内は対策しているが海外は分からないというのも課題の1つ。セキュリティ対策は、「知りません」では許されない。
セキュリティ対策は「知りません」では許されない。
「対策を行うときに、関係者が趣旨や目的を理解しているか、同じ用語でコミュニケーションできているかが重要です。例えばDLPという言葉1つでも、どのような仕組みによ対策なのか、関係者によって認識が異なることもあります。情報を集め、認識を共有し、対策を横展開する、コミュニケーションがハブになるという認識が重要です」(鈴木氏)
セキュリティ対策は、セキュリティ担当者だけで実現できる時代ではなく、社内外の関係者が連携して取り組むことが大事になる。関係者と情報を共有して、必要な担当者に必要な情報を双方向でやりとりし、コミュニケーションをする。情報を発信することは、情報を集めることにもつながる。
情報を分析する、コミュニケーションをするためには人材が重要になる。セキュリティ部門だけでは、安全を確保できない時代であり、業務部門にも、経営層にもセキュリティ人材は必要になる。そのためには人事ローテーションが効果的だが、セキュリティ部門も人材が不足しているので、育成がなかなか困難である。それでも、人材を採用し、育成していくことは不可欠な取り組みといえる。
鈴木氏は、「セキュリティには、変わるものと変わらないものがあります。分析すると、対応済みのものと対応が必要なものがあります。情報収集、分析、コミュニケーション、人材の確保が重要な基盤になります。ぜひ多くの人と情報交換をして、セキュリティ向上に取り組んでいきましょう。オリックス銀行でも、一緒にセキュリティ対応に取り組んでくれる人材を求めています」と話し、講演を終えた。
関連記事
- 「損害保険×ソリューション」の提供で、効率的かつ効果的なサイバーリスク対策を実現――東京海上日動火災保険 教学大介氏
- 増え続けるサイバー犯罪、「完璧」ではなく「現時点最強」で致命傷を避ける備えを――圓窓 澤円氏
- 変化に必要なのはインプットとアウトプットで「いま」という時代をちゃんと知ること――Armoris 取締役専務 CTO 鎌田敬介氏
- サイバー攻撃から組織を守るために不可欠な3つのチカラとは――SBテクノロジー プリンシパルセキュリティリサーチャー 辻伸弘氏
- 重要インフラ行動計画、環境の変化を考慮して継続的に改定していくことが重要――NISC 結城則尚氏
- 情報セキュリティ委員会、CSIRT、SOCがワンチームで対応するのが情報セキュリティの肝――ラック、ダイドーグループHD 喜多羅滋夫氏
- 攻めのサイバーセキュリティでDXをけん引し、全てのステークホルダーに価値を提供――竹中工務店 高橋均氏
- DXを支えるサイバーセキュリティ新常態を新型コロナウイルス対策から学ぶ――ラック西本逸郎社長
- デジタルによる業務の生産性向上とセキュリティ強化の両立がゼロトラスト最大の目的――NRIセキュアテクノロジーズ 鳥越真理子氏
- ゼロトラストで目指すのは、快適に、安心して、楽しく働ける職場を支えるIT基盤――日清食品グループの挑戦
- 脅威と向き合う哲学――これからのランサムの話をしよう
- NISCもゼロからテレワーク導入――コロナ禍が問う、ウィズリスク時代の緊急対応
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
ITmedia エグゼクティブのご案内
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。ぜひこの機会にお申し込みください。入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。【入会条件】上場企業および上場相当企業の課長職以上