- ありがとうございます!
- いいね!した記事一覧をみる
会員になると、いいね!でマイページに保存できます。
リクルートが実践「攻撃者目線」のセキュリティ対策、多様なデータを守る緻密な体制
企業を狙うサイバー攻撃が高度化・複雑化する中、多くの組織が「どこから手をつけるべきか」という課題に直面している。限られたリソースで全方位にセキュリティ対策を講じることは現実的ではない。この問題に対して、リクルートのセキュリティ統括室で部長を務める六宮 智悟氏は「攻撃者の気持ちになって自組織を眺める」というアプローチで、“超本質的”と言えるセキュリティ戦略を構築している。
「本当に狙われる資産」を見抜く難しさ……
セキュリティ対策を考える上で、六宮氏が重視するのは「対策は脅威に対するリアクションである」というスタンスだという。
「極論を言ってしまえば、誰も攻撃をしてこないのであれば対策をする必要はありません。我々がしているセキュリティ対策は、脅威に対する『リアクション』と言えます」(六宮氏)
六宮氏は、脅威は「攻撃者の能力と敵意」「脆弱性(攻撃の機会)」「攻撃者が狙う資産」の3つの要素が重なった時に生まれると解説する。この中で組織がコントロールできるのは、「脆弱性」と「資産」だ。つまり脆弱性を低減し、守るべき資産を明確化することが重要となる。
ただし難しいのは、「攻撃者が狙う資産」と「組織が守りたい資産」が必ずしも一致しないことだ。六宮氏自身も、セキュリティベンダーに勤めていた際に「攻撃者が狙った資産と企業が守りたい資産が一致しなかったケースを何回か見たことがある」という。
『HOT PEPPER Beauty』や『SUUMO』『じゃらん』などのサイトを運営するリクルートのビジネスモデルは、クライアントである企業と個人ユーザーをマッチングすることが根幹となっており、そうした事業を通じて、企業や個人の活動に関する情報が蓄積される構造になっている。攻撃者にとって価値の高い情報を保有するリクルートは、どのような体制で守っているのか。「どのような対策をするのか」という手段ではなく“根本的な問い”を重視するリクルートのセキュリティ戦略とは。
「極論を言ってしまえば、誰も攻撃をしてこないのであれば対策をする必要はありません。我々がしているセキュリティ対策は、脅威に対する『リアクション』と言えます」(六宮氏)
六宮氏は、脅威は「攻撃者の能力と敵意」「脆弱性(攻撃の機会)」「攻撃者が狙う資産」の3つの要素が重なった時に生まれると解説する。この中で組織がコントロールできるのは、「脆弱性」と「資産」だ。つまり脆弱性を低減し、守るべき資産を明確化することが重要となる。
ただし難しいのは、「攻撃者が狙う資産」と「組織が守りたい資産」が必ずしも一致しないことだ。六宮氏自身も、セキュリティベンダーに勤めていた際に「攻撃者が狙った資産と企業が守りたい資産が一致しなかったケースを何回か見たことがある」という。
『HOT PEPPER Beauty』や『SUUMO』『じゃらん』などのサイトを運営するリクルートのビジネスモデルは、クライアントである企業と個人ユーザーをマッチングすることが根幹となっており、そうした事業を通じて、企業や個人の活動に関する情報が蓄積される構造になっている。攻撃者にとって価値の高い情報を保有するリクルートは、どのような体制で守っているのか。「どのような対策をするのか」という手段ではなく“根本的な問い”を重視するリクルートのセキュリティ戦略とは。
この記事の続き >>
-
・まずは「積極的には守らない資産」を決めることが重要であるワケ
・リクルートが実践、情報資産の「3段階の分け方」
・【図解】緻密なセキュリティ組織体制「3線ディフェンスモデル」
・「共通の感覚」こそが、セキュリティ対策の“基盤”を作る
今すぐビジネス+IT会員に
ご登録ください。
すべて無料!今日から使える、
仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!
提供企業一覧
- アルファテック・ソリューションズ株式会社
- 、 株式会社 日本HP
- 、 ゾーホージャパン株式会社
- 、 株式会社マクニカ
関連タグ
タグをフォローすると最新情報が表示されます
