ダイヤモンド社のビジネス情報サイト
情報セキュリティの方程式

私が経営者に説明する
「情報セキュリティの方程式」とは

小山 覚 [NTTコミュニケーションズ セキュリティ・エバンジェリスト]
【第1回】 2015年2月13日
著者・コラム紹介バックナンバー
previous page
2
nextpage

 さて、正常化の偏見とは、実際に被害に遭うか目の前に危険が迫ってくるまで、その危険を認めようとしない人間の心理傾向、「危険を無視する心理」を指す社会心理学、災害心理学用語である。津波などの天災や災害に対して使われる専門用語であるが、私はリスクが目に見えないサイバー攻撃に対しても「正常化の偏見」が働き、むしろ間違った判断をしやすい状況にあると考えており、経営者はこの点を理解しておくべきである。

 さらに、IT環境は償却期間毎に新規システムに更改することが多い。しかしセキュリティ対策では、新たに発生した脆弱性や攻撃などのリスク、つまり災害のような外的な環境変化に対応しなければならない。このため既存機器類の償却期間を待つことなく、新しい対策を導入する必要が生じる。

 例えば、他社で発生している攻撃などに対して、自社に対策が必要と判断されれば、速やかにアクションを起こさなければならない。見えない脅威への対策は難しい判断であるが、同業他社が被害に遭っているのであれば、自社も同様の脅威に曝されていると考えるのが肝要である。

専門体制の重要性

 このように正常化の偏見に惑わされず、適切な判断を迅速に行うためには、セキュリティ対策に責任を果たす担当者(CISO[最高情報セキュリティ責任者]などの専任者が望ましい)を配置し、意思決定の独立性を確保することが挙げられる。

 具体的には、経費削減の波に押され、必要なセキュリティ対策が疎かになっていないか、新しい脅威を理解し既存の対策が有効に機能しているかを技術と制度の両面からモニタリングし、常に警鐘を鳴らす人を経営者の身近におく必要がある。

 また最近では、インシデント発生時にレスキュー活動を行うCSIRT(情報セキュリティ対策チーム)を設置する企業も増えてきており、他社との情報共有を含め体制強化の取り組みが本格化している。政府の情報セキュリティ政策会議で発表された「サイバーセキュリティ2014」では、内閣官房及び全府省庁に対するCSIRT等の体制の整備及び連携の強化が盛り込まれている。官民歩調を合わせた取組みを行うことで、日本全体のセキュリティレベルの底上げが期待されている。

 特に2020年に開催される東京オリンピック・パラリンピックに向け、日本が世界各国から大きな注目を集めると同時に、新たな攻撃に曝されることも容易に想像できる。大会を成功させるためには、インターネットを中心としたICT環境の強靭化が必要であり、各組織間のCSIRT連携を軸とした情報共有の重要性が、今まで以上に大きくなっていると言えよう。

previous page
2
nextpage
IT&ビジネス
クチコミ・コメント

facebookもチェック

小山 覚
[NTTコミュニケーションズ セキュリティ・エバンジェリスト]

こやま・さとる/NTTコミュニケーションズ 経営企画部 MSS推進室 担当部長。1988年、日本電信電話株式会社に入社、大阪府や兵庫県で電柱やケーブルの工事・保守業務を経験。1997年「OCN」の立ち上げに参加しセキュリティサービス開発に従事。その後CodeRedワームの脅威に直面しマルウェア対策を決意。2002年、本来業務の傍らTelecom-ISAC Japanなど、各団体の活動に参加。2006年、セキュリティ対策の国家プロジェクト「サイバークリーンセンタ」の運営委員を5年間務める。2013年7月から現職、総務省研究会の構成員として、サイバー攻撃対策と「通信の秘密の侵害」との関係整理に取り組む。

情報セキュリティの方程式

業務の効率化を使命とする情報システム部門に、セキュリティマネジメントを任せるのはやや無理がある。LAN内に侵入し情報を盗み出す標的型攻撃が増加する昨今、経営者はセキュリティ対策に対する認識を変えていく必要がある。インターネットの黎明期から情報セキュリティの現場を経験してきたエキスパートが、テクノロジー論やコストパフォーマンスの観点だけでない、情報セキュリティの日々の運用の重要性を解説する。

「情報セキュリティの方程式」

⇒バックナンバー一覧