SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録

ニュース

記事

Security Online

DB Online

イベント

講座

特集

ブログ

新着記事一覧を見る

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

イベント一覧はコチラから

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

紛争事例から学ぶ! 実践ベンダーコントロール習得講座

講座一覧はコチラから

Security Online Day 2024 春の陣レポート

「15分だけでも机上演習を」IT/OTセキュリティの格差広がる、IPA青山氏が求めるレジリエンス強化

重要インフラのサイバーレジリエンス強化に向けた戦略

 サイバー攻撃への対策は、発生の抑止を中心とした考え方から「レジリエンス(回復力)」へと変化している。それは、組織がサイバー攻撃に直面した際、迅速かつ柔軟に回復する能力、そして“インシデントから学ぶ”力のことだ。IPA(情報処理推進機構)産業サイバーセキュリティセンター(ICSCoE)専門委員であり、名古屋工業大学で客員助教を務める青山友美氏は「概念を理解し、セキュリティ戦略に取り入れる必要がある」と語る。そのために有効とされる、机上演習の活用、社内外のセキュリティ・ステークホルダーとの連携について紹介した。

DX時代に求められるセキュリティ

 近年よく聞かれるようになった「レジリエンス」。日本語では強靭性、弾力性、柔軟性などと訳されるが、要は「状況に柔軟に対応し、継続可能な状態に戻る力」のことだ。特に「サイバーレジリエンス」といえば、「予期しない事象に対処する力=対処能力」を意味することも多いが、「変化を捉える力=監視能力」「何が起こり得るのか予測する力=予測力」「過去から学び、改善する力=学習力」といった能力も求められると青山氏は指摘する。

 では、どうすればこれらの能力を高め、レジリエンス力を高めていくことができるのか。手始めにDX時代にサイバーリスクがどのように変化し、どのようなセキュリティが求められているのかを把握することが大切だろう。

 下図の2020年の調査結果[1]では、ヒヤリハットを含めて「情報漏えいが少なくとも一度は発生している」と答える組織が82%もあった。DXによってサイバーリスクがより顕在化しつつあることが伺える。そして、DXによりサプライチェーンなど社外システムとの依存性が高まっているにも関わらず、「社外システムに対するセキュリティ管理が未整備」と答えた組織は58%にも上る。つまり、DXのスピードに対し、必要なセキュリティのポリシーや体制などの整備が十分に整っていないというわけだ。

 青山氏は「約60%の組織が、セキュリティとDXのバランスが取れないまま走っている状態」と警鐘を鳴らす。その背景には、DXにおけるセキュリティチームと経営層の価値観に齟齬が生じていることがあるようだ。ITセキュリティを担当する部門と経営層の間で、「優先順位が合意できている」と答えた組織はわずかに16%に過ぎない。

 そしてDXのプロジェクトについて「予算がセキュリティに割り当てられている」と回答したのは35%程度であり、社外システムへの依存性が増しているにも関わらず、セキュリティ管理体制の未整備が60%、かつ予算すら割り当てていない組織が35%という状況にあるという。

 サイバーリスクが顕在化しつつあるにも関わらず、十分なセキュリティ対策を取れていないだけでなく、上層部の理解もなく、予算もないために当分対応もできないという状況にある。その上、リスクアセスメントもできていないまま、DXだけがどんどん進んでいる状態と言えるだろう。

[画像クリックで拡大]

 なお、グローバル全体のトレンドとして、セキュリティに関する規制や法律の整備が国内外で進むにつれ、「セキュリティはIT部門だけでなく組織全体で対応するもの」と捉え方・考え方が変わってきているという。たとえば、米国の政府機関NIST(National Institute of Standards and Technology:米国立標準技術研究所)が発行する『サイバーセキュリティフレームワーク(CSF)』では、元々挙げられていた「5つのコア機能=特定・保護・検知・対処・復旧」といった一連の流れを支える機能として「ガバナンス」が加わった。

 つまり、IT部門だけでセキュリティのPDCAを回すだけでは不十分であり、組織の責任者がリーダーシップをとってセキュリティの「ガバナンス」を担保する必要があるという見方だ。しっかりと組織のリスクを理解した上でのセキュリティガバナンスが求められている。

[画像クリックで拡大]

 青山氏は「セキュリティのあり方もDXと共に変わっていくべき。ガバナンスの重要性が高まっていることを踏まえ、サイロ化しやすいセキュリティ・IT業務の枠を破っていくこと、つまりは『セキュリティトランスフォーメーション』が大切」と語り、そのポイントとして次の3つを挙げた。

1. サイバーリスクを経営リスク管理の一部として組み込むこと

 サイバー特有のリスクの考え方・捉え方はあるが、経営全体におけるサイバーリスクが占める比率を考える。たとえば、リスクマトリクスで表現したときにサイバーリスクがどこにポジションするのか、「組織のリスクマネジメントにおけるサイバーセキュリティ」として捉えることが重要だ。

2. IT部門と経営層が、保護すべき資産と業務について優先順位を合意すること

 サイバーセキュリティに関する優先順位について、社内ステークホルダー間で合意することは欠かせない。特にIT部門はイニシアチブを取って優先順位を考えるべきだ。さもなくば部門やステークホルダーがそれぞれの価値観、考え方に基づいて優先順位を勝手に理解し、調整なきまま業務にも反映させてしまう恐れがある。

3. レジリエンスの設計・デザインを協力して実施すること

 レジリエンスはいざというとき、すぐに発揮できるものではない。システムに関連する組織やプロセスをデザインする過程で、「どのようにリスクに対応するのか」「どうやって異変から学習するのか」を組み込んで考える必要がある。そのためには、DXプロジェクトの初期段階からセキュリティ担当者がしっかりと関与することが重要だ。

[1] 「Digital Transformation & Cyber Risk: What You Need to Know to Stay Safe」(Ponemon Institute,2020)

次のページ
サプライチェーンセキュリティ特有の課題

NEXT

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Day 2024 春の陣レポート連載記事一覧

もっと読む

この記事の著者

伊藤真美(イトウ マミ)

フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19504 2024/05/09 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

  1. 1
    パスワードレス化が進まないのはなぜ? 普及停滞を打開する認証手法「パスキー」への期待と導入のストーリー
  2. 2
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築
  3. 3
    世界60ヵ国以上に展開の三井物産、セキュリティ施策を3ステップに集約 経営層の理解を得ながら推進
  4. 4
    エバラ食品のDXは“土台づくり中” 社内の機運が高まりローコードツールの勉強会に100人以上が参加
  5. 5
    生成AI時代の顧客理解「マシン・カスタマー」とは何か?:機械が顧客のように行動し収益をもたらす
  6. 6
    ゼロトラストの次なる課題は「経営・事業戦略との連動」──ゼットスケーラー代表に聞く日本企業特有の事情
  7. 7
    “カンブリア砲”にも耐えた、登山地図GPSアプリ「YAMAP」の急成長を裏で支えるインフラ進化の歴史
  8. 8
    SAPジャパン 稲垣利明×テックタッチ 井無田仲──巨大企業の「イノベーションのジレンマ」脱却に学ぶ
  9. 9
    プルーフポイントのエバンジェリストが語る、スパムメール戦争を生き残るための「DMARC」完全運用までの道
  10. 10
    イトーキ、130年伝統企業のDX:オラクルから転身した湊社長が描く「AIとデータの戦略」とは
  1. 1
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築
  2. 2
    パスワードレス化が進まないのはなぜ? 普及停滞を打開する認証手法「パスキー」への期待と導入のストーリー
  3. 3
    加賀市が起こした「消滅可能性都市」からの逆転劇、なぜ“IT先進地域”になれたのか 震災で変化も
  4. 4
    グーグルが「Google Cloud Next '24」で発表した「生成AIエージェント」戦略とは?
  5. 5
    OracleとAWSの巨額投資の行方、富士通との蜜月復活の鍵も握る「ソブリンクラウド」
  6. 6
    人的資本経営の潮流で“ERP選定眼”に変化か 大手企業での導入進むjinjerに訊く
  7. 7
    Google Workspace、生成AIで業務効率化を加速 Gemini搭載で文章・画像生成、Google Vidsで動画作成も
  8. 8
    企業独自の生成AI活用は「RAG」が高いハードルに、Oracleが狙う“一元化”は金の鉱脈になるか
  9. 9
    2024年大注目の「RAG」の正体とは?──ハルシネーションを防ぐ有効手段として期待
  10. 10
    防衛装備庁が参考にしたことで注目高まる「NIST SP800-171」 企業が倣う際に着目すべき要点

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2024年6月25日(火)オンライン開催

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング

  1. 1
    パスワードレス化が進まないのはなぜ? 普及停滞を打開する認証手法「パスキー」への期待と導入のストーリー
  2. 2
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築
  3. 3
    世界60ヵ国以上に展開の三井物産、セキュリティ施策を3ステップに集約 経営層の理解を得ながら推進
  4. 4
    エバラ食品のDXは“土台づくり中” 社内の機運が高まりローコードツールの勉強会に100人以上が参加
  5. 5
    生成AI時代の顧客理解「マシン・カスタマー」とは何か?:機械が顧客のように行動し収益をもたらす
  6. 6
    ゼロトラストの次なる課題は「経営・事業戦略との連動」──ゼットスケーラー代表に聞く日本企業特有の事情
  7. 7
    “カンブリア砲”にも耐えた、登山地図GPSアプリ「YAMAP」の急成長を裏で支えるインフラ進化の歴史
  8. 8
    SAPジャパン 稲垣利明×テックタッチ 井無田仲──巨大企業の「イノベーションのジレンマ」脱却に学ぶ
  9. 9
    プルーフポイントのエバンジェリストが語る、スパムメール戦争を生き残るための「DMARC」完全運用までの道
  10. 10
    イトーキ、130年伝統企業のDX:オラクルから転身した湊社長が描く「AIとデータの戦略」とは
  1. 1
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築
  2. 2
    パスワードレス化が進まないのはなぜ? 普及停滞を打開する認証手法「パスキー」への期待と導入のストーリー
  3. 3
    加賀市が起こした「消滅可能性都市」からの逆転劇、なぜ“IT先進地域”になれたのか 震災で変化も
  4. 4
    グーグルが「Google Cloud Next '24」で発表した「生成AIエージェント」戦略とは?
  5. 5
    OracleとAWSの巨額投資の行方、富士通との蜜月復活の鍵も握る「ソブリンクラウド」
  6. 6
    人的資本経営の潮流で“ERP選定眼”に変化か 大手企業での導入進むjinjerに訊く
  7. 7
    Google Workspace、生成AIで業務効率化を加速 Gemini搭載で文章・画像生成、Google Vidsで動画作成も
  8. 8
    企業独自の生成AI活用は「RAG」が高いハードルに、Oracleが狙う“一元化”は金の鉱脈になるか
  9. 9
    2024年大注目の「RAG」の正体とは?──ハルシネーションを防ぐ有効手段として期待
  10. 10
    防衛装備庁が参考にしたことで注目高まる「NIST SP800-171」 企業が倣う際に着目すべき要点