開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2016/08/12

NTTが考える、日本企業のCSIRTを「期待通りに」機能させる方法

竹内文孝氏が指南

企業を狙ったサイバー攻撃が後を絶たない。2016年6月には、標的型メールによるウイルス感染により、大手旅行会社から700万人弱の個人情報が流出した。さまざまな情報漏えい事故の報道を受けて企業経営者のセキュリティに対する意識も高まっており、決して対策を疎かにしているわけではない。そこで再度確認すべきなのが、「一時的な対策で終わっていないか」ということだ。今の企業に求められているセキュリティ対策とは何か。NTTコミュニケーションズでセキュリティエバンジェリストをつとめる竹内文孝氏が解説する。


photo
今やセキュリティ対策は「事故前提」が基本だ

「経営を守る」という視点からのセキュリティ対策

関連記事
 既に多くの企業で、入口対策や出口対策、サイバー攻撃に対する社員教育などが実施されている。しかし、ファイアウォールやウイルス対策ソフトをすり抜ける標的型メールは数多く出回り、出口対策としてログ管理をすればするほど、大量のログが溜まっていく。インシデントが起きた企業に送られた標的型メールも、添付ファイルを開封しなければ業務怠慢ではないかと思われるぐらい巧妙な手口だった。

 「ガートナー セキュリティ&リスク・マネジメントサミット2016」で登壇したNTTコミュニケーションズ 経営企画部マネージドセキュリティサービス推進室 担当部長 セキュリティエバンジェリスト/NTTコムセキュリティ 代表取締役社長の竹内文孝氏は、「セキュリティ対策は、“事故は起きる”という前提で体制を整えていく必要がある」と強調する。

「たとえば10万IDの個人情報が漏えいした場合、1回事故が起こると、379万ドル(4億円前後)の利益が飛ぶと言われている。かかるコストの内訳としては、フォレンジックなど事故直後のさまざまな技術的な切り分けに26%、問い合わせ対応や法的対処に28%、そして一番大きいのが信用回復に要するコストで40%。実際に事故が起こって被害が出た場合の経営に対するインパクトは非常に大きい」

 また1ID当たりに平均した場合の対応コストは約154ドルで、特に医療業界や教育業界など信用に関わる業種では、この平均値が他業種の約2倍になっているという。

「事故は起こるという前提に立ち、まさにリスクマネジメントの一環として、セキュリティ対策を考えていかなければならない。情報資産を守るだけでなく、経営を守るという視点からの取り組みがが求められている」

リスクマネジメントを強化するための3つのステップ

画像
NTTコミュニケーションズ
経営企画部マネージドセキュリティサービス推進室
担当部長 セキュリティエバンジェリスト/
NTTコムセキュリティ
代表取締役社長
竹内 文孝 氏

 竹内氏は、リスクマネジメントの強化ポイントを、3つの段階に分けて説明する。

 まずステップ1が、社内体制をきちんと整備していくことだ。ここでは持続可能なリスクマネジメントフレームワークという考え方が有用となる。

「リスクマネジメントフレームワークは、ISOやNIST(米国国立標準技術研究所)、米国政府がガイドラインとして使っているものだ。そのため、システム管理者個々のスキルセットに依存しない、担当者が誰があっても同じレベルのセキュリティ対策を施すことができるように社内体制を構造化していくための方法論になっている。一番分かりやすいのは、システムのライフサイクルに合わせて、チェックポイントを作っていくこと」

 具体的には、設計→構築→導入→運用→改善というシステムライフサイクルの各フェーズでセキュリティのチェックポイントを必ず設け、各ポイントでのチェックをクリアできなければ次のフェーズには行かせないというものだ。

「リスクマネジメントを行う社内体制をフレームワーク化しておくことで、人のスキルに依存しないセキュリティ対策を取ることが可能となる」

 リスクマネジメントフレームワークを作成したら、次にステップ2として実行力を強化するための取り組みに着手する。

「事故が起こることを前提として、その際にどうアクションするかを考えるのが、2つめのポイント。ここで求められるのが、インシデント対応のライフサイクルを構築し、強化していくことだ。このステップ1、ステップ2を実現できれば、CSIRTという体制が整うことになる」

 しかし、竹内氏は「今の日本企業のCSIRTの実行力が本当に機能するのかという点を非常に危惧している」と続ける。

 NTTコミュニケーションズが行った調査では、日本企業にCSIRTが設置されている状況は欧米と同等レベルになってきているが、欧米に比べて日本では、CSIRTが期待通りに機能していると評価している企業は極端に少なく、一方CSIRTがあまり期待したレベルを満たしていないと感じている企業の割合は多いという。

「CSIRTはいわば消防署の役割を果たす組織であり、事故が起きた時には火を消しに行かなければならない。それがリスクを最小化するポイントだ。しかし日本ではCSIRTを作ったが、まだ実行力が伴っていないという現状がこのデータから読み取れる。人材や予算の確保が不十分で、CSIRTは設置したものの、それが持続可能な組織になっていない。ここが大きな問題だ」

 そこで3つめのステップが、グローバルを含むグループ全体の経営にCSIRTを展開していく取り組みとなる。

「グローバル環境下のセキュリティガバナンスを確立するために、CSIRTをグループ全体に展開していく。内部統制を強化し、その状況を利害関係者と定期的に共有し、フィードバックをもらい、改善活動に繋げていく。このPDCAサイクルを回すことで、利害関係者との信頼関係も強化されていくので、企業価値も上がる。万一事故が起きた時でもタイムリーに情報共有をするので、ネガティブな反応を抑制する効果も期待できる」

【次ページ】セキュリティガバナンス強化のための4つの視点

お勧め記事

セキュリティ総論 ジャンルのセミナー

セキュリティ総論 ジャンルのトピックス

セキュリティ総論 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!