ログの取得と解析により
システムの現状を知る
いまや、「企業システムの内部は安全」と言い切れる企業はほとんどないはずだ。何らかのウィルスがどこかに潜んでいる、あるいは不正アクセスが行われているという前提で、セキュリティ対策を考える必要がある。そこで重要になるのが、コンピュータやネットワーク上で何があったかを記録すること。つまり、ログの取得や解析である。
「ログを蓄積して定期的にチェックすることで、何が起きているのかを知ることができます。外部からの攻撃にいち早く対応するために有効なだけでなく、システムやネットワークを監視していることを社内で明らかにすれば、内部からの情報漏えいへの抑止力にもなります」と佐々木氏。情報を盗もうとする者が「利益を得るためのハードルが高すぎる」と思えば、リスクを抑えられるということだ。
こうした対策の導入を進める一方で、運用の仕組みづくりにも注力する必要がある。立派なセキュリティシステムを導入したのに、運用がお粗末という企業は少なくない。
「運用しながらセキュリティを高めるPDCAサイクルが重要。多くの企業は現場のPDCAには熱心ですが、現場と経営層をつなぐPDCAが回っていません。現場と経営層のリスクコミュニケーションは不可欠。大きな役割を担うのがCISO(Chief Information Security Officer)ですが、残念ながら日本企業ではあまり定着していません。いたとしても、専門知識を持つCISOは少ない」と佐々木氏はいう。
ただ、CISOという役員クラスの幹部を養成するには時間がかかる。打開策としては、まず経営と現場をつなぐ橋渡し役を育てるというアプローチもありうる。その有力候補がCSIRT(Computer Security Incident Response Team)のメンバー。CSIRTとは、いざというときに社内で緊急対応に当たるチームのことだ。
セキュリティの専門人材、
CISOの育成が急務
「CSIRTは社内の消防隊のようなものです。普段は別の仕事をしていても、何か起きたときには集まって対策の最前線に立つ。IT部門を含む社内の各部門からメンバーを選抜してチームをつくっておけば、普段から勉強にも取り組むはず」と佐々木氏。政府機関や大企業の中にはCSIRTを設置する動きもあるが、一般にはまだ普及しているとはいえないだろう。
企業内において、セキュリティの知識を持つ人材の育成は急務だ。まずはCSIRTという器をつくって人材を配置することで、その成長を促すという考え方もある。CSIRTで育った中堅幹部は下の世代を育てる一方で、将来のCISO候補にもなるはずだ。
「セキュリティ人材を増やすためには、キャリアパスも重要。専門性を身に付けることで、より重要な仕事に就けるような道筋を確立する必要があります」と佐々木氏は強調する。佐々木氏が教鞭をとる東京電機大学が社会人向けのセキュリティ専門コースを開設したところ、社会人からの反響は大きかったという。
社会的にセキュリティへの関心が高まっていることは間違いない。しかし、企業においてはどうだろうか。問われているのは、セキュリティに対する経営者のコミットメントである。
