日本 Select Language : English 日本語

南北アメリカ

アメリカ: English
ブラジル: English / 日本語 / Português do Brasil

ヨーロッパ、中東、アフリカ(EMEA)

EMEA:

イギリス,
ベルギー,
フランス,
ドイツ,
オランダ,
スペイン,
アラブ首長国連邦
English
日本語
Español
Deutsch
Français
ロシア: English / 日本語 / русский

アジアパシフィック

日本(法人のお客さま): English / 日本語
日本(個人のお客さま): English / 日本語
オーストラリア(NTT Com ICT Solutions): English
中国本土: English / 日本語 / 簡體中文
香港/マカオ: English / 日本語 / 繁体中文 / 簡體中文
インド: English / 日本語
インドネシア: English
韓国: English / 日本語 / 한국어
マレーシア: English
フィリピン(DTSI): English
シンガポール: English / 日本語
台湾: English / 日本語 / 繁体中文
タイ: English / 日本語
ベトナム: English / 日本語

×閉じる

Select Language : English 日本語

南北アメリカ

ブラジル: English / 日本語 / Português do Brasil
アメリカ: English

ヨーロッパ、中東、アフリカ(EMEA)

EMEA:
(ベルギー, フランス, ドイツ, オランダ, スペイン, アラブ首長国連邦, イギリス)
English / 日本語 / Español / Deutsch / Français
ロシア: English / 日本語 / русский

アジアパシフィック

日本(法人のお客さま): English / 日本語
日本(個人のお客さま): English / 日本語
オーストラリア(NTT Com ICT Solutions): English
中国本土: English / 日本語 / 簡體中文
香港/マカオ: English / 日本語 / 繁体中文 / 簡體中文
インド: English / 日本語
インドネシア: English
韓国: English / 日本語 / 한국어
マレーシア: English
フィリピン(DTSI): English
シンガポール: English / 日本語
台湾: English / 日本語 / 繁体中文
タイ: English / 日本語
ベトナム: English / 日本語

知ってますか?キャスビー、EDR、ピーサート2019年のセキュリティ対策、5つのヒント(後編)

ヒント
5
セキュリティ推進のリーダーシップとスタイル

セキュリティの実施を担う部門をひとつに集約し、そこに押し付けることでは解決しません。特に流行りのCSIRTに実施と責任のすべてを負わせるべきではありません。CISO室など、リーダーシップの所在はひとつにするとしても、その施策の実現と改善のサイクルを回していくことは全部門の仕事になります。紋切り型のポリシーやガイドラインによって頭ごなしに全部門に押し付けるスタイルを避け、現実的で、段階的な改善を推進することが重要なポイントとなります。

そこで、高度なマネージメントの視点が必要となりますが、自社の取り組みを客観視し、段階的な改善のフォーカス分野を特定するため、外部の指標を活用することは良いスタートの助けになります。これには、アドホックな対応から徐々に成熟させていくという考え方や、内部で不足しているリソースを外部のリソースの活用によって企業のリスクにマッチするセキュリティを実現することも含まれます。最初の取り組みとしては、経済産業省が提供している「サイバーセキュリティ経営ガイドライン」も理解の促進に助けになります。また、具体的な取り組みの評価については、米国のセキュリティ専門団体によるセキュリティオペレーションのフレームワーク「CIS 20 Controls」を参考にするのも効果的でしょう。

また、サイバー攻撃の恒常的な標的となっているシステム開発や、ソフトウェアによる連携が必要となるIoTデバイス製品などを行なう会社の開発・運用部門では、リスクの高い技術リソースを扱うため、そのセキュリティ保持の実現はCSIRTだけではカバーできません。そこでCSIRTにあわせて、自社開発のサービスや製品開発に特化するセキュリティチームとしてPSIRT(Product Security Incident Response Team/ピーサート)を別途設置した組織づくりをするアプローチがでてきています。

PSIRTが推進するプラクティスについては、詳細についてここでは割愛しますが、世界中の企業でインシデント対応チームのためのフォーラムであるFirst.orgが公開したPSIRT Frameworkというドキュメントや、ソフトウェアセキュリティに特化したコミュニティであるOWASPが公開しているOWASP SAMM(Software Security Maturity Model/ソフトウェアセキュリティ成熟度モデル)、またシノプシスが提供しているBSIMM(Building Security In Maturity Model)などは、公開情報ですのでぜひ参考にしてください。

おわりに

2019年年頭のエンタープライズ・セキュリティとして、いくつかのトピックを取り上げました。これらすべては事後対応的にやることではなく、計画的に、戦略的に進められることばかりです。

政府の「サイバーセキュリティ月間」も例年通り2月から始まり、数多くのセミナーや研修などが開催されます。ここで皆さんが、あらかじめ問題意識を持って聞くのと、ただ情報の洪水に埋もれるのとではわけが違います。もっとも本稿では、皆さんがすでに認識していたことも多々記載されていたことでしょう。ただ、本稿がひとつの整理として、問題意識をもつ思考の一助になれば幸いです。今年はぜひ、戦略的にセキュリティに取り組んで行かれますよう。結果として、企業の、ひいては社会のセキュリティの実現にみなさんのお力をお貸しください。シフトレフト!

岡田良太郎(おかだりょうたろう)
株式会社アスタリスク・リサーチ 代表取締役/エグゼクティブ・リサーチャ
セキュリティリサーチャ。国内の企業や団体におけるセキュリティイニシアチブの継続的な支援に従事している。また、セキュリティ堅牢化・プロジェクトWASForum Hardening Project(ワスフォーラム・ハードニングプロジェクト)オーガナイザ、グローバルコミュニティ OWASP(オワスプ)のJapanチャプターリーダーを務め、2014年にThe OWASP Foundationより "Best Chapter Leader"を受賞。BBT大学では教員として「教養としてのサイバーセキュリティ」科目を担当している。また、政府・公共機関に協力し、情報セキュリティ10大脅威選考委員、総務省CYDER実行委員。CISA、MBAを保持。

関連記事

従来の標的型攻撃や不正アクセスだけでなく、IoTデバイスや仮想通貨などにも拡大しているサイバーセキュリティ・リスク。次々と登場する新たな脅威にどう対応すれば良いのでしょう…【続きを読む】

ランサムウェアを使って多くの企業に影響を与える、大規模なサイバー攻撃が立て続けに発生するなど、インターネットにおけるセキュリティリスクは高まり続けているのが現状であり、対…【続きを読む】

情報セキュリティ対策を考える際、「セキュリティに詳しい人材がいないから対策が進まない」などと考えてはいないでしょうか。それでは、いつまで経っても適切なセキュリティ対策を実…【続きを読む】

特集コンテンツ

この記事が注目されています

このページのトップへ