SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Press(AD)

DeNAがNIST発行フレームワーク等を参照しセキュリティポリシー大改定 当事者が語った狙いとは?

ワークショップや机上演習が大事である理由

――インシデントの経験を共有、伝承する方法はありますか?

茂岩氏:私たちはe-ラーニングなどで知識を提供していたのですが、やはり体験も必要であることに気づきました。一度インシデントを経験した人はすごく気をつけますが、新しい人がどんどん入ってきて、その人たちがまたインシデントを起こしてしまうというサイクルに陥ってしまう。そこで人工的に体験をするには、サイバー演習が適していると思っています。

 サイバー演習は、インシデント対応のワークショップや机上演習です。インシデントが起きたと仮定して、各自がどういうアクションをすべきか相談していきます。そこには結構気づきがあって、このログが必要だけど、ログは取っていたのか、すぐに探せる状態なのかなどの意見が出ます。そうすると、ちゃんとログを取って整理しておかないとダメだと、自身で気づいて持ち帰ってもらえます。こうした演習はすごく効果があると思って、定期的に実施しています。

――それはどのくらいの人数、回数なのですか?

茂岩氏:1回20人ほどピックアップして、今年度は4回実施しました。従業員は1,000人いるので、徐々に広げていく予定です。リーダー層向け、エンジニア向け、一般向けなど、いろいろなものがあります。

 また、NCA(日本シーサート協議会)の訓練方法などを考えるワーキンググループにも入っていますので、そこの人に講師をお願いしたり、同業他社の人を講師として招くこともあります。やはり外部の人に来てもらうと、引き締まりますね。

内海氏:私たちはそうした演習をサービスとして提供しているので、演習の依頼はすごく増えています。他にもNISC(内閣サイバーセキュリティセンター)や金融ISACが主導するものや、総務省の実践的サイバー防御演習「CYDER」などもあります。オリンピックに向けてニーズも高まっているようです。

「演習ニーズの高まりを実感している」と語る、ニュートン・コンサルティング 内海 良氏

今後、目指していくことについて

――今後のお話をうかがいたいと思います。DeNAさんはセキュリティポリシーの改定が大きなテーマだと思いますが、事業はセキュリティとどのように向き合っていけばいいのか、あるいは今後、企業が持つべき新たな視点があったら教えてください。

茂岩氏:将来的には、セキュリティに関しては自分たちの事業で適切に考えて進める「自立型組織」を作りたいと思っています。そのためには、全社員がポリシーを読んで理解できる状態が理想ですので、そこに近づける努力をしていく。究極的な理想は、セキュリティ部がなくなることと考えています。

 現在は家を出るときには鍵をかけることが当たり前ですが、サイバーセキュリティでもそういう状態を作る。とはいえ、それを実現することはすごく難しく、そのためには自動化や可視化がすごく大事だと思っています。それができるところを探して適用することに取り組んでいます。

それぞれの立場からの意見が飛び交ったことで、充実した内容の議論が展開された

 クラウドシステムにおいても、AWSやGCPをたくさん使っていますが、APIを通じて情報が取れるので、その情報を見てポリシーに合わないところがあれば担当者にメールを送るなどの自動化をしています。クラウドを現場でどんどん使い始める状況にありながら、セキュリティの問題が潜んでいることに現場が気づいていないケースが多い。間違った設定でバケットがフルオープンになっていて、そこから個人情報が漏れるという事件が世界でたくさん起きていますが、先回りして推奨設定を伝えるなどの対策をしていれば、そういうことも防げます。

 実際に、DeNAでよく使うような機能について、昨年度独自のAWSのセキュリティガイドラインを作りました。そこに推奨設定を書いて、それを守ってもらうようにしました。何も規定のない状態では何をしていいのかわからず、デフォルトの設定のままになってしまいます。

 もうひとつは、推奨設定が実際に適用されているかを監査する仕組みをシステム化して提供することで、かなりセキュアにできますし、意識する必要もなくなります。設定を間違えたら自動的にアラートが出ますので。どうしても人力でやらないといけないことだけを集中して教えるという絞り込みはできるので、そこも努力しています。

内海氏:新たな視点に何が必要か。これは先ほど茂岩さんおっしゃったことと一緒で、現場の人にいかに意識を植え付けるかが、取り組むべき点だと思います。また、新たな視点としては、どんどん出てくる新しい技術をどの部署が拾うのか。AIなどは既存のITシステム部門などでは拾いきれなくなっていますし、セキュリティと密接につながるプライバシーの部分も拾い切れておらず、法規制への対応が不十分の場合も多い。

 先ほどセキュリティバイデザインのお話がありましたが、プライバシーもバイデザインの考えが重要でオプトアウトの機能などを設計段階から組み込む必要がある。ITの枠を超えつつあるセキュリティ、プライバシー、デジタル、それぞれのガバナンスの視点をどこが拾うのか、既存のIT部門が拾っていくのか、IT部門が吸収したり、デジタル推進部などに名前が変わる企業も多いので、そこはこれからどんどん必要になっていくと思います。

茂岩氏:確かにプライバシー系は、すごく仕事が増えましたね。特に海外展開している会社は、GDPRが出て、カリフォルニアのCCPAが出て、中国もサイバーセキュリティ法があって、それぞれやることが違いますので。追いかけるだけでも大変ですね。

――ありがとうございました。

お薦め資料

本記事でも触れられている、セキュリティ関連資料やフレームワーク/ガイドラインの要約版資料が無料でダウンロードできます。詳細は、ゾーホージャパンのサイトをぜひご覧ください。

各要約資料ダウンロード

 グローバル展開しているDeNAが社内セキュリティポリシー大改定に参照したフレームワーク/ガイドラインを今すぐチェック! 各要約版資料は、こちらからダウンロードできます。

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
Security Online Press連載記事一覧

もっと読む

この記事の著者

吉澤 亨史(ヨシザワ コウジ)

元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/12754 2020/03/18 15:29

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング