Select Language : English 日本語

NTTコミュニケーションズ

法人のお客さま: English / 日本語
個人のお客さま: English / 日本語

NTT Ltd.

グローバルサイト English

お客さまの課題解決のヒントをお届けするデジタルマガジンICT Business Online

メルマガ登録

知ってますか?キャスビー、EDR、ピーサート2019年のセキュリティ対策、5つのヒント(後編)

印刷

ヒント5セキュリティ推進のリーダーシップとスタイル

セキュリティの実施を担う部門をひとつに集約し、そこに押し付けることでは解決しません。特に流行りのCSIRTに実施と責任のすべてを負わせるべきではありません。CISO室など、リーダーシップの所在はひとつにするとしても、その施策の実現と改善のサイクルを回していくことは全部門の仕事になります。紋切り型のポリシーやガイドラインによって頭ごなしに全部門に押し付けるスタイルを避け、現実的で、段階的な改善を推進することが重要なポイントとなります。

そこで、高度なマネージメントの視点が必要となりますが、自社の取り組みを客観視し、段階的な改善のフォーカス分野を特定するため、外部の指標を活用することは良いスタートの助けになります。これには、アドホックな対応から徐々に成熟させていくという考え方や、内部で不足しているリソースを外部のリソースの活用によって企業のリスクにマッチするセキュリティを実現することも含まれます。最初の取り組みとしては、経済産業省が提供している「サイバーセキュリティ経営ガイドライン」も理解の促進に助けになります。また、具体的な取り組みの評価については、米国のセキュリティ専門団体によるセキュリティオペレーションのフレームワーク「CIS 20 Controls」を参考にするのも効果的でしょう。

また、サイバー攻撃の恒常的な標的となっているシステム開発や、ソフトウェアによる連携が必要となるIoTデバイス製品などを行なう会社の開発・運用部門では、リスクの高い技術リソースを扱うため、そのセキュリティ保持の実現はCSIRTだけではカバーできません。そこでCSIRTにあわせて、自社開発のサービスや製品開発に特化するセキュリティチームとしてPSIRT(Product Security Incident Response Team/ピーサート)を別途設置した組織づくりをするアプローチがでてきています。

PSIRTが推進するプラクティスについては、詳細についてここでは割愛しますが、世界中の企業でインシデント対応チームのためのフォーラムであるFirst.orgが公開したPSIRT Frameworkというドキュメントや、ソフトウェアセキュリティに特化したコミュニティであるOWASPが公開しているOWASP SAMM(Software Security Maturity Model/ソフトウェアセキュリティ成熟度モデル)、またシノプシスが提供しているBSIMM(Building Security In Maturity Model)などは、公開情報ですのでぜひ参考にしてください。

おわりに

2019年年頭のエンタープライズ・セキュリティとして、いくつかのトピックを取り上げました。これらすべては事後対応的にやることではなく、計画的に、戦略的に進められることばかりです。

政府の「サイバーセキュリティ月間」も例年通り2月から始まり、数多くのセミナーや研修などが開催されます。ここで皆さんが、あらかじめ問題意識を持って聞くのと、ただ情報の洪水に埋もれるのとではわけが違います。もっとも本稿では、皆さんがすでに認識していたことも多々記載されていたことでしょう。ただ、本稿がひとつの整理として、問題意識をもつ思考の一助になれば幸いです。今年はぜひ、戦略的にセキュリティに取り組んで行かれますよう。結果として、企業の、ひいては社会のセキュリティの実現にみなさんのお力をお貸しください。シフトレフト!

岡田良太郎(おかだりょうたろう)
株式会社アスタリスク・リサーチ 代表取締役/エグゼクティブ・リサーチャ

セキュリティリサーチャ。国内の企業や団体におけるセキュリティイニシアチブの継続的な支援に従事している。また、セキュリティ堅牢化・プロジェクトWASForum Hardening Project(ワスフォーラム・ハードニングプロジェクト)オーガナイザ、グローバルコミュニティ OWASP(オワスプ)のJapanチャプターリーダーを務め、2014年にThe OWASP Foundationより "Best Chapter Leader"を受賞。BBT大学では教員として「教養としてのサイバーセキュリティ」科目を担当している。また、政府・公共機関に協力し、情報セキュリティ10大脅威選考委員、総務省CYDER実行委員。CISA、MBAを保持。

この記事のキーワード