セキュリティ管理には、企業リスク全体に関する幅広い知識が必須
防衛庁・航空自衛隊からアクセンチュア、さらにカーネギーメロン大学客員教員、同日本校教授を経て、現在は慶應義塾大学環境情報学部教授を務める武田圭史氏。同氏は、企業が自社のセキュリティ対応を検討するに当たって、「まずは、情報セキュリティの基本的な考え方に立ち返ってほしい」という。「セキュリティマネジメントは、そのまま企業のリスク管理だといえます。たとえばISOでは、一般的なリスク管理の国際標準はISO 31000、情報セキュリティマネジメントシステムの国際規格はISO 27001と分かれています。しかし、前者は後者を実装するに当たって具体的なリスク評価の指標となるため、実際の企業リスク管理においては、両者を緊密かつ最適に連携させていく知識と技量が担当者に求められます」(武田氏)
情報セキュリティとは、情報資産の「秘匿性」「完全性」「可用性」を維持するために、守るべき対象となる資産を洗い出し、考えられる脅威や脆弱性=リスクを特定して対策を取っていくことだ。
「その意味でも、セキュリティの専門家は、セキュリティ技術だけでなく、それを用いるべき脅威や脆弱性までをカバーする、幅広い知識を持っていなくてはなりません」(武田氏)
たとえば脆弱性の高い情報を入手したら、それを悪意のある第三者が利用した場合、どんな攻撃に発展する可能性があるのか。いくつもの可能性を正確に予測し防御するスキルが、現代のサイバーセキュリティ担当者には必須だという。
では、日本企業がこれからサイバーセキュリティを効果的に導入・実践していくには、具体的にどうすればよいのだろうか。次章からは、武田氏が示唆する「組織として特に注視したい、脅威の最新動向3つ」について詳しく見ていきたい。
今すぐビジネス+IT会員にご登録ください。
すべて無料!ビジネスやITに役立つメリット満載!
-
ここでしか見られない
1万本超のオリジナル記事が無料で閲覧可能
-
多角的にニュース理解
各界の専門家がコメンテーターとして活躍中!
-
スグ役立つ会員特典
資料、デモ動画などを無料で閲覧可能!セミナーにご招待
-
レコメンド機能
あなたに合わせた記事表示!メールマガジンで新着通知
関連タグ