SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2017 イベントレポート(AD)

サイバーセキュリティも「as a Service」の時代――EYアドバイザリー・アンド・コンサルティング 藤井仁志氏が解説

 「EYグローバル情報セキュリティサーベイ 2016(GISS)」によると世界の企業の53%がセキュリティ関連予算を増額していながら、63%が現在のセキュリティ機能に対し組織のニーズを満たしきれていないと評価しているという。この「費用を掛けているにもかかわらず不安」という状況を脱し、適正なセキュリティを実現するための解はあるのか。EYアドバイザリー・アンド・コンサルティングの藤井仁志氏が、これまでのサイバーセキュリティの潮流を踏まえながら、今後求められる「as a Service型」セキュリティサービスの有用性について解説した。

アジリティ重視のセキュリティ対策の弊害

 初期のサイバー攻撃は“稚拙な攻撃者(スクリプトキディ)”と呼ばれるような愉快犯などが多かった。それが徐々に高度化し、近年では組織化された集団による組織犯罪としてのサイバー攻撃や、国家が支援する大規模な攻撃「APT」などが増え、被害額も増大している。

 ここで狙われるのはクレジットカード情報や銀行口座など“お金になる情報”であり、ビットコインなどの新しい仕組みもすでに攻撃対象にも攻撃後の利益を確保するためにも使われている。攻撃者も個人から企業や組織へと変化し、これにより大規模な資金を使った活動も可能となったこともあり、セキュリティインシデント1件あたりの被害総額も数十億円規模へと拡大している。また金銭目的以外のサイバー攻撃の狙いも顕在化しており、米国大統領選挙にロシアの関わりが噂されるなど「政治的な意図」に基づく情報操作に対する備えが必要な時代になってきた。  

 これに対し一般企業のセキュリティ対策は『いかに攻撃を阻止するか』という「Resist(阻止) 」に重きが置かれる傾向にあるという。しかし、それによる弊害も生じているようだ。  

 藤井氏は「マーケットでは新しい製品やサービスが登場し続けているが、企業ではそれらを導入したことそのもので満足してしまう、あるいは次々と導入し続けることに疲弊してしまい、使いこなすことが十分にできていないのではないか」と警鐘を鳴らし、さらに「サイバー攻撃が境界の阻止だけで防げないことは昨今の事例からは明らかになってきていることを踏まえ、防ぎきれなかったものへの対策も求められる」と語る。

EYアドバイザリー・アンド・コンサルティング株式会社 
サイバーセキュリティー Co-Lead パートナー 藤井仁志氏

 そのために必要となるのは、サイバー脅威の予見と発見を迅速に行なう「Sense(察知) 」と、何らかの事故が起きた場合の被害を最小化にする「React(対応)」をバランスよく強化することである。「Resist(阻止) 」「Sense(察知) 」「React(対応)」の3つの防衛策がそれぞれを補完し合うことで、より高いセキュリティ環境が実現するというわけだ。

出所:EYアドバイザリー・アンド・コンサルティング 藤井仁志氏、
Security Online Day 2017(主催:翔泳社)講演資料より

 近年、セキュリティ対策への要件として、「レジリエンス(復元力)」という言葉に代表される「インシデントから速やかに回復し事業を継続させること」が求められることが多い。しかし藤井氏は「実際の対策を見てみると、復元力よりも『アジリティ(機敏さ)』が重視されてきた」と指摘する。つまり、「新しい脅威に対してひたすら迅速に対応すること」が数十年来のセキュリティ対策として行われてきたことだったわけだ。

 その結果の1つとして藤井氏は、2016年のグローバル情報セキュリティサーベイ(GISS)(関連リンク)による調査結果を示す。それによると、53%の組織が過去12か月でセキュリティ関連予算を増額しているものの、63%の組織は「セキュリティ機能が組織のニーズを満たしきれていない」と答えている。そこからは、次々と現れる脅威を調査し、対策を検討し、できる限りの予算を費やして強化をしているにも関わらず、実際には自社のセキュリティに対して自信を持ちきれていないという組織の苦悩が見えてくる。

 組織がセキュリティを強化するとき、そこには3つのトリガーがあるという。まず1つは「法規制への対応」。個人情報保護法などへの準拠するための対応であり、抗うことはできないが、その対応範囲を最小限度に留めようとする。

 2つ目は自社または同業者などに「実害が生じたとき」だという。この場合、計画的対応というよりも事象の再発防止という性格が強く、かつ短期間での対応完了が求められるため、同様にその対応範囲を最小限度に留めようとする。

 そして3つ目が何らかの形で「他社が行なっているセキュリティ対策を知ったとき」だという。経営者同士の勉強会や懇談会などで気づきがあり、それがトップダウンで現場に降りてくるという状態だが、こちらも現場から見ると突発作業であり、やはりその対応範囲を最小限度に留めようとする。

 しかし、藤井氏は「いずれにおいても包括的なプランに基づいて施策が考えられていない。それが“自信のなさ”の原因になっているのではないか」と分析する。

次のページ
「SOCの進化と正しいSOC」の選び方

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2017 イベントレポート連載記事一覧

もっと読む

この記事の著者

伊藤真美(イトウ マミ)

フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/10008 2017/11/14 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング