sp-it-security サブカテゴリ

サイバーセキュリティ対策の実効性評価を行う手法としてRed Team Operations（「レッドチームテスト」）が近年注目を集めています。欧州の金融監督当局ではRTOの実施を監督下にある金融機関に順次求めており、これがグローバルな潮流になっている等、一般に重要インフラと呼ばれる業界でその実施が浸透しつつあります。その概要、意義、実施時のポイントなどを紹介します。

第4回では、ビジネスの成長に資するリスクマネジメントを実践するためには、成熟度モデルを用いた中長期的なロードマップを描き、スモールスタートによりクイックインを得ることが重要であると解説した。加えて、最新のGRCテクノロジーを導入する場合、そこに設計されたベストプラクティスを参考に、業務変革につなげていくことの重要性について述べた。本稿では、長期的なビジネスの成長を後押しするリスクマネジメントと統合管理モデルの実現について、調査結果や事例を交えて解説しする。

本稿では、リスクを監視する上で重要な“リスクベースの内部監査”について、調査結果や事例を交えて解説したい。

企業のセキュリティが正しく機能しているかを監視するマネージド・セキュリティサービス・プロバイダが注目されている。ただし、実際に正しくセキュリティ監視がなされているのかまで確認できている企業は多くない。ここではセキュリティ監視をどのように実施すべきかを検証する。

前回は、欧米グローバル企業のGRCテクノロジーの活用事例を取り上げた。本稿では、統合管理化の実現に向けたビジネスリマネジメントについて、調査結果や事例を交えて解説したい。

リスクマネジメントプログラムを準備、計画、実行する上での“障壁”とその対策について、調査結果や事例を交えて解説する。

セキュリティ危機（インシデント）が発生したときにその予防の責任者を追及し改善させるといった従来の考え方のみでは、インシデントによる企業ブランドの棄損には合理的に対応できなくなってきている。つまり、現代の脅威に関しては、インシデントは起きる、という前提に立った危機管理対策の重要性がより高まっている。そのための具体的な手順を紹介する。

我が国では、「脅威インテリジェンス」がバズワード化するほど、その需要が高まっている。しかし、実際のところその活用方法を悩んでいる企業はまだ少ないのが現状だ。本稿では近年増大するサイバー空間における脅威に対してのインテリジェンスの概説と、その活用法の一例を紹介したい。

「セキュリティバイデザイン」とは、対症療法的にセキュリティ対策を施すという事後的対処から脱却し、情報システムの企画・設計段階から、そのシステムが安全に運用されるために必要となる情報セキュリティ要件を定義し、開発工程を通じて情報システムに確実に実装されることを目指した取り組みです。どのように導入していけばいいのでしょうか。

組織の仕組みや文化に根付いたセキュリティ対策を実行するためには、一定レベルのセキュリティ人材を組織の中で雇用し育成するのが望まれます。しかし、セキュリティ人材は売り手市場であり、多くの組織で人材が確保できないことが課題となっています。5回目となる本稿では、セキュリティ人材の育成について考察します。

前回まで、サイバーセキュリティについてリスクマネジメントの視点からの考察、CISO・セキュリティ部門の位置付け、役割についての考察、投資についての考え方の考察を行いました。今回は企業を取り巻くさまざまな法制度の中で、特にサイバーセキュリティとプライバシーに関するものについて考えてみたいと思います。

GDPR施行まで1年弱、いまからでも対策は可能である。ただししプロジェクトは経営者がリーダーシップを執り、リスク管理や法務だけでなく、経営企画、IT、総務人事、営業・マーケティング等、あらゆる部門も巻き込んで推進することが重要である。

GDPR（EU一般データ保護規則）は、遠いヨーロッパのことだから日本の本社には関係ないという誤解もいまだに散見されるが、違反時に高額な制裁金が課される可能性があり、財務的なインパクトや評判リスクの大きさは計り知れない。また、ライバル企業の訴訟戦略に巻き込まれるリスクもあり、対応の遅れは命取りになる。

実際に各種のセキュリティ対策を実行すると相応の費用が発生しますが、これを単なる「コスト」と考えるのか「投資」と考えるのかについてはよく議論されるところであり、第3回の本稿ではセキュリティ対策に関連するお金の使い方と、それにまつわる経営者の意思決定について考えたいと思います。

ウェブセキュリティ対策のソリューションを全世界で展開しているアカマイ・テクノロジーズの下には、実際に被害を出した企業を含む様々な企業から相談が寄せられている。だが、多くの企業がまだウェブの脅威に対して正しい認識を持てていないという。

IoT（モノのインターネット）のセキュリティがセキュリティ業界にとって最大の課題のひとつとなった。製造メーカーは、デジタル時代のセキュリティ対策にどのような人材が必要なのかを理解することが急務だ。

「サイバーセキュリティ経営ガイドライン」（Ver1.1　経済産業省・独立行政法人情報処理推進機構）においても経営者の関与の必要性が明記されており、「CISO（最高情報セキュリティ責任者：企業内で情報セキュリティを統括する担当役員）」を設置することが求められています。実際にCISOやセキュリティ部門の置き方についての考え方をまとめます。

サイバーセキュリティは重要な経営課題であることに、もはや議論の余地はありません。セキュリティの重要性は浸透しつつありますが、本質的な理解が不足することにより、対策が遅れたり、不適切な対策となる場合も少なくありません。本連載では、経営者が理解すべきサイバーセキュリティについて、12回の連載で解説していきます。

私が本会議座長を務める「Cyber3 Conference Tokyo 2016」（以下、サイバー3）が今年も11月18、19日に六本木アカデミーヒルズで行なわれます。サイバー3は、世界各国の閣僚や世界的な企業の経営者、著名な研究者などハイレベルなキーパーソンが集結する「サイバーセキュリティ」に関する国際会議で、昨年、沖縄県名護市で初めて開催されました。

金融システムや銀行は自明のとおり、「そこにカネがあるから」という理由で、これまで常に犯罪者の標的となってきた。それはサイバー犯罪でも同じだ。企業や個人はどうやって被害を防げばいいのか。