開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

サイバーリーズン・ジャパン株式会社提供コンテンツ

  • スペシャル
  • 会員限定
  • 2022/02/24

名和利男氏が明かす「やっている感を出すだけ」のセキュリティ対策から脱却する方法

リモートワークなどの働き方はもはや当たり前となった。それに伴い、サイバー脅威も巧妙かつ悪質化し、新たな被害も目立ち始めている。「日本では政府がセキュリティ対策に関する多くのガイドラインや法規制を施行してきたが、どれも企業目線になっていない」と指摘するのは、サイバーディフェンス研究所 専務理事/上級分析官 名和 利男氏だ。同氏は「企業の利益を守る」という観点から、本当に必要なセキュリティ対策について解説した。

なぜ企業は、サイバー被害をいたずらに拡大させてしまうのか?

画像
サイバーディフェンス研究所
専務理事/上級分析官
名和 利男氏
海上自衛隊において、護衛艦のCIC(戦闘情報中枢)の業務に従事した後、航空自衛隊において防空指揮システム等のセキュリティ担当(プログラム幹部)業務等に従事。その後JPCERTコーディネーションセンター早期警戒グループのリーダを経て、サイバーディフェンス研究所に参加。CSIRT構築及び、サイバー演習(机上演習、機能演習等)の国内第一人者として、支援サービスを提供
 近年、企業ではセキュリティ責任者としてCISO(Chief Information Security Officer)を選出して、彼らに対策を任せていることが多い。しかし、その上の取締役会において、サイバーリスク管理の取り組みを積極的に実施している企業は、ほとんど皆無なのが実情だろう。

 サイバーセキュリティは単なるITの問題でなく、全社的なリスク管理の問題だ。その法的意味を理解するために、CISOは法務部長が兼任しているケースが目立つ。とはいえ、法務部長は非役員であり、期待される任務を両方とも遂行することは難しい。

 名和氏は「特に株主総会の準備や大型案件の契約処理などを抱える多忙な時期だと、仕事を兼務しているとリーダシップが発揮できません。結果的に一部の企業では、ステークホルダーからの同調圧力でCISOを採用しているにすぎず、このような実態がサイバー被害をいたずらに拡大させる要因の1つになっているのです」と指摘する。

 日本では2013年に『サイバーセキュリティ戦略』が発表されたが、英国国際戦略研究所による「サイバー能力と国力」に関するネット調査では「狭い技術的な種類の古典的な情報セキュリティの修辞的(美辞麗句的)な原則に焦点を当てた」と表現されており、決して褒められた評価ではない。

 実際に『政府機関等のサイバーセキュリティ対策のための統一基準群』では「適切」「必要に応じて」という言葉が多用されている。しかし、これらを誰が判断するのかは明確でなく、外部や現場に丸投げしている。何かあれば矢面に立たされるのは現場側なので、「やっている感を醸し出す旧態依然の情報セキュリティ対策が横行している」(名和氏)という。

 しかし、このような状態が続けば、高まるサイバー脅威から企業利益を守ることはできない。そろそろ企業も真の意味でサイバーセキュリティに本腰を入れる必要があるのだ。

この記事の続き >>
・日本「不審なメールを開くな!」主要他国「不審なメールを見つけよう!」なぜこんなに違う?
・サイバー攻撃で失う企業利益と原因を見極め、強固なセキュリティコントロールを
・企業利益を守るために本当に必要な「5つのポイント」

この続きは会員限定です

ここから先は「ビジネス+IT プレミアム会員」に登録の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

関連コンテンツ

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!