NTTが考える、日本企業のCSIRTを「期待通りに」機能させる方法竹内文孝氏が指南

会員限定
2016/08/12 掲載

NTTが考える、日本企業のCSIRTを「期待通りに」機能させる方法

竹内文孝氏が指南

記事をお気に入りリストに登録することができます。

企業を狙ったサイバー攻撃が後を絶たない。2016年6月には、標的型メールによるウイルス感染により、大手旅行会社から700万人弱の個人情報が流出した。さまざまな情報漏えい事故の報道を受けて企業経営者のセキュリティに対する意識も高まっており、決して対策を疎かにしているわけではない。そこで再度確認すべきなのが、「一時的な対策で終わっていないか」ということだ。今の企業に求められているセキュリティ対策とは何か。NTTコミュニケーションズでセキュリティエバンジェリストをつとめる竹内文孝氏が解説する。

今やセキュリティ対策は「事故前提」が基本だ

「経営を守る」という視点からのセキュリティ対策

関連記事

CSIRTとは何か？5分でわかる日本シーサート協議会に聞いた体制構築のポイント

▲ 閉じる ▼ すべて表示

　既に多くの企業で、入口対策や出口対策、サイバー攻撃に対する社員教育などが実施されている。しかし、ファイアウォールやウイルス対策ソフトをすり抜ける標的型メールは数多く出回り、出口対策としてログ管理をすればするほど、大量のログが溜まっていく。インシデントが起きた企業に送られた標的型メールも、添付ファイルを開封しなければ業務怠慢ではないかと思われるぐらい巧妙な手口だった。

　「ガートナーセキュリティ＆リスク・マネジメントサミット2016」で登壇したNTTコミュニケーションズ経営企画部マネージドセキュリティサービス推進室担当部長セキュリティエバンジェリスト／NTTコムセキュリティ代表取締役社長の竹内文孝氏は、「セキュリティ対策は、“事故は起きる”という前提で体制を整えていく必要がある」と強調する。

「たとえば10万IDの個人情報が漏えいした場合、1回事故が起こると、379万ドル（4億円前後）の利益が飛ぶと言われている。かかるコストの内訳としては、フォレンジックなど事故直後のさまざまな技術的な切り分けに26％、問い合わせ対応や法的対処に28％、そして一番大きいのが信用回復に要するコストで40％。実際に事故が起こって被害が出た場合の経営に対するインパクトは非常に大きい」

　また1ID当たりに平均した場合の対応コストは約154ドルで、特に医療業界や教育業界など信用に関わる業種では、この平均値が他業種の約2倍になっているという。

「事故は起こるという前提に立ち、まさにリスクマネジメントの一環として、セキュリティ対策を考えていかなければならない。情報資産を守るだけでなく、経営を守るという視点からの取り組みがが求められている」

リスクマネジメントを強化するための3つのステップ

NTTコミュニケーションズ
経営企画部マネージドセキュリティサービス推進室
担当部長セキュリティエバンジェリスト/
NTTコムセキュリティ
代表取締役社長
竹内文孝氏

　竹内氏は、リスクマネジメントの強化ポイントを、3つの段階に分けて説明する。

　まずステップ1が、社内体制をきちんと整備していくことだ。ここでは持続可能なリスクマネジメントフレームワークという考え方が有用となる。

「リスクマネジメントフレームワークは、ISOやNIST（米国国立標準技術研究所）、米国政府がガイドラインとして使っているものだ。そのため、システム管理者個々のスキルセットに依存しない、担当者が誰があっても同じレベルのセキュリティ対策を施すことができるように社内体制を構造化していくための方法論になっている。一番分かりやすいのは、システムのライフサイクルに合わせて、チェックポイントを作っていくこと」

　具体的には、設計→構築→導入→運用→改善というシステムライフサイクルの各フェーズでセキュリティのチェックポイントを必ず設け、各ポイントでのチェックをクリアできなければ次のフェーズには行かせないというものだ。

「リスクマネジメントを行う社内体制をフレームワーク化しておくことで、人のスキルに依存しないセキュリティ対策を取ることが可能となる」

　リスクマネジメントフレームワークを作成したら、次にステップ2として実行力を強化するための取り組みに着手する。

「事故が起こることを前提として、その際にどうアクションするかを考えるのが、2つめのポイント。ここで求められるのが、インシデント対応のライフサイクルを構築し、強化していくことだ。このステップ1、ステップ2を実現できれば、CSIRTという体制が整うことになる」

　しかし、竹内氏は「今の日本企業のCSIRTの実行力が本当に機能するのかという点を非常に危惧している」と続ける。

　NTTコミュニケーションズが行った調査では、日本企業にCSIRTが設置されている状況は欧米と同等レベルになってきているが、欧米に比べて日本では、CSIRTが期待通りに機能していると評価している企業は極端に少なく、一方CSIRTがあまり期待したレベルを満たしていないと感じている企業の割合は多いという。

「CSIRTはいわば消防署の役割を果たす組織であり、事故が起きた時には火を消しに行かなければならない。それがリスクを最小化するポイントだ。しかし日本ではCSIRTを作ったが、まだ実行力が伴っていないという現状がこのデータから読み取れる。人材や予算の確保が不十分で、CSIRTは設置したものの、それが持続可能な組織になっていない。ここが大きな問題だ」

　そこで3つめのステップが、グローバルを含むグループ全体の経営にCSIRTを展開していく取り組みとなる。

「グローバル環境下のセキュリティガバナンスを確立するために、CSIRTをグループ全体に展開していく。内部統制を強化し、その状況を利害関係者と定期的に共有し、フィードバックをもらい、改善活動に繋げていく。このPDCAサイクルを回すことで、利害関係者との信頼関係も強化されていくので、企業価値も上がる。万一事故が起きた時でもタイムリーに情報共有をするので、ネガティブな反応を抑制する効果も期待できる」

【次ページ】セキュリティガバナンス強化のための4つの視点

関連コンテンツ

記事

セキュリティ総論

Symantec World 2024[アーカイブ]

世界中で高まるサイバーセキュリティの脅威とリスク　あらゆるリスクに備える、ゼロトラストの実現企業のAI・DXによる変革が進展する中、デジタルデバイスやネットワーク、データといった重要なアセットがサイバー攻撃の対象になっています。こうしたリスクに対して、企業はあらゆる攻撃を想定し「ゼロトラスト」で対応することが求められています。こうしたサイバーセキュリティの最新動向とゼロトラストのセキュリティ対策をお届けすべく、オンラインで参加できるシマンテックのサイバーセキュリティセミナーを開催いたします。デバイスセキュリティ、ネットワークセキュリティ、データセキュリティの各セッションをご用意いたしました。シマンテックのゼロトラストの世界をぜひご覧ください。

イベント・セミナー

オンライン 2024/05/21開催

DXを加速するゼロトラストセキュリティ 2024 春

世界経済の混乱や、長引くインフレ、依然として残るコロナの影響などの中、企業は生き残りをかけてDXを推進しています。それと同時に、社外から社内のシステムにアクセスすることや、工場外から製造装置に直接アクセスするような機会も増えています。DXの進展やテレワークの普及などによりビジネスのクラウド化がさらに進んだ結果、従来型の「境界型モデル」ではネットワークセキュリティの維持が困難となり、「すべてのトラフィックを疑わしいものとみなす」ゼロトラストセキュリティへの注目が高まっています。境界なきセキュリティが求められる時代にデジタルトラストを確立するにはどうすればよいのでしょうか？当WebセミナーではDXに取り組みながら、企業がゼロトラストセキュリティについて進めるべき方向性を模索し、ゼロトラストセキュリティに関するさまざま情報を提供してまいります。

イベント・セミナー

オンライン 2024/05/31開催

”最も重要なことから始めよ”　引き算でデザインするセキュリティ戦略の新標準

本セミナーは2024年2月9日(金)に開催したセミナーと同じ内容となります。情報セキュリティを管轄する部門にとって最も重要なことは何でしょうか？そしてその「最も重要なこと」は事業部門、経営層と一致しているでしょうか。この根深い問題をしっかりと把握している企業は追加コストの対策型セキュリティではなく、サイバー上の「ビジネスリスク」として事業戦略とリンクして投資をされようとしています。本セミナーでは、デジタル化を推進される方を対象に、最先端の情報を踏まえつつ、転換に向けた新標準となるアプローチをご紹介します。

あなたの投稿

ようこそゲストさん

フォローの多い人気のタグ

注目のイベント・セミナー