今回の説明会は、米国のサイバーセキュリティ対策の基準である「NIST SP800-171」の要求仕様に、企業はどのような対応を講じるべきかを詳らかにするもの。
登壇したRSAアジア太平洋地域でチーフ サイバー セキュリティ アドバイザーを務めるレナード・クレインマン(Leonard Kleinman )氏は、「国家をターゲットにしたサイバー攻撃が増加する現在においては、レジリエント セキュリティを国家のサイバー戦略に組み込む必要がある。NISTのセキュリティフレームワークに準拠することで企業は、『コンプライアンス経営企業』であることも明確にできる」と説明した。
攻撃されても事業継続ができる体制を
セキュリティの考え方としてクレインマン氏は「レジリエント セキュリティ」というキーワードを使った。
「レジリエント」とは、組織や個人が想定外のダメージから回復し、適応/成長する能力を意味する。「レジリエント セキュリティ」とはサイバー攻撃を受けた場合でも迅速に回復し、業務の継続性を担保するアプローチを指す。レジリエンスを高めるためには、サイバーセキュリティ対策のベストプラクティスを採用し、各国/各業界の規格に則って、対策を講じていくのが最適な手法であるという。
2015年、日本は内閣サイバーセキュリティセンターが、「重要インフラにおける情報セキュリティ確保に係る『安全基準等』策定にあたっての指針」を示した。クレインマン氏は、「オーストラリア、シンガポール、ニュージーランドでも重要インフラをどのように防御し、攻撃された場合でもレジリエントできるかの戦略を講じている」と説明する。
同氏が「興味深い状況」として挙げるのが、SOC(Security Operation Center)の位置づけだ。各国とも国家レベルのSOCを設立し、その配下に産業/業種分野ごとのSOCを構築している。ただし、この方法には課題があるとクレインマン氏は指摘する。
「産業分野が異なれば、防御アプローチも異なる。その意味においては、分野ごとにSOCを構築することはメリットがある。しかし、どの国もセキュリティ人材不足に頭を抱えている。SOCばかり乱立させても、そこで働く人材が確保できなければ意味がない」(クレインマン氏)
同氏は、「各国が国際的な協調関係を構築し、緊密な情報交換していくこと。そして、セキュリティ人材の育成に注力していくことが重要だ」としたうえで、基準となる「NIST SP800-171」に準拠する意義を説明した。
