Select Language : English 日本語

NTTコミュニケーションズ

法人のお客さま: English / 日本語
個人のお客さま: English / 日本語

NTT Ltd.

グローバルサイト English

お客さまの課題解決のヒントをお届けするデジタルマガジンICT Business Online

メルマガ登録

従来の標的型攻撃や不正アクセスだけでなく、IoTデバイスや仮想通貨などにも拡大しているサイバーセキュリティ・リスク。次々と登場する新たな脅威にどう対応すれば良いのでしょうか。セキュリティリサーチャであり、OWASPの活動や総務省CYDER実行委員なども務める岡田良太郎氏が、2019年に企業が計画的に取り組むべきセキュリティ対策について、5つのヒントを紹介します。

5つのヒント

2019年を迎え、多くの皆さんが久しぶりの長期休暇を楽しまれたかもしれません。久しぶりに開ける業務用のメールボックスは、仕事だけでなくリスクも盛りだくさん。フィッシングサイトへの誘導メール、マルウェアのダウンロードを誘発するメール、さらには脅迫メールも、わんさと飛び交っているようで、私の周辺でも感染・被害報告をいくつか耳にしています。

サイバーセキュリティ・リスクにおいて昨年来高まっている脅威には、従来の標的型攻撃やウェブアプリケーションへの不正アクセスに加え、仮想通貨からIoTデバイスなど多岐にわたるエリアへの攻撃が関係しており、個人のみならず企業への影響も拡がっています。企業では、セキュリティ対応チームとしてCSIRT(Computer Security Incident Response Team/シーサート)が続々と設立され、有事の火消し対応の体制確保は喫緊の課題とされています。

しかし、サイバーセキュリティは、いつまでこのような行き当たりばったりの「火消し」に右往左往するのでしょうか。近年、攻撃サイドの利益率が14倍だとの報告もありました。この相手に有利すぎる負け試合に消耗しつづけ、被害者であるにも関わらず、関係者に謝罪し続ける事態をいつまで看過しなければならないのでしょうか。また、企業のCISO(Chief Information Security Officer/最高情報セキュリティ責任者)は、どうすれば良いのでしょうか。

様々なシステム連携によってビジネスが成立する現在、それらシステムを活用する事業の現状と変化にはどのようなリスクがあり、それをどのようにコントロールするのか。セキュリティ対策を有事の解決だけに委ねるのではなく、事前に計画的に織り込むことが肝心です。ご存知のとおり、たいていプロセスというものは左から右に描きますが、事前の段階は左側=レフトにあるので、このプラクティスを「シフトレフト」と言います。そこで、このシフトレフトを企業のセキュリティとして計画的に実現していくための検討ポイントを考えてみたいと思います。特に2019年年頭の時点で、多くの企業に影響を及ぼす5つのポイントをとりあげ、セキュリティ対策計画におけるヒントを前編・後編で示したいと思います。前編の本稿では、ビジネス推進のステークホルダー拡大の影響、また働き方改革によるワークプレースの多様化について解説します。

この記事のキーワード