EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

「特定」と「防御」だけのセキュリティでは足りない時代到来 CSF要件を満たすための現実解

edited by Security Online   2020/04/23 11:00

これからは説明責任の幅が広くなる どこまでやればいいのか

本田:ここからは日本に視点を移そうと思います。これまでのセキュリティ対策の根底にあるものは何でしょうか。

西尾:これまでの日本のセキュリティ対策はCSFでいうところの「特定」と「防御」までが中心でした。これらは日本における事件の捜査方法やそこで求められる説明責任と関連しています。しかし日本ではサイバー攻撃発生時に攻撃者が悪いのか、対策を怠った人が悪いのか、議論が熟していませんでした。

本田:議論が進まなかったのはなぜでしょう。

西尾:サイバー攻撃というと、とんでもない不思議な力を持つ魔法使いの仕業のようなイメージがあったのかもしれません。しかし原理を把握すればそう難しくありません。技術者でなくても、講習を受ければ攻撃の仕組みを理解することができます。アメリカでは政府と法曹界が協力してSP800文書などで最低限の善管注意義務を定めました。

 一方、日本で発生した事件を見ると、CSFでやるべきことがまだなされていません。数年前のログを見て「攻撃されていたようでした」では、検知したことになりません。検知はリアルタイムでないと。日本企業はまだ理解が十分ではないと感じます。

本田:説明責任についてはどうでしょう。

西尾:事後に「私たちはこれだけセキュリティ製品を導入して“防御”していました」では足りません。これに加えて「(リアルタイムで)攻撃を検知し、このように対応したけど、これだけ被害が生じてしまいました」まで説明できないと、善管注意義務にあたらず善管注意義務違反と認定されてしまい、訴訟になれば負けてしまうことになりかねません。今後は今まで以上に説明責任の範囲が広がると考えていいでしょう。


関連リンク

著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。 Webサイト:http://emiekayama.net

  • 丸毛透(マルモトオル)

    インタビュー(人物)、ポートレート、商品撮影、料理写真をWeb雑誌中心に活動。  

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5