SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine Press

名和利男氏が指南する、攻撃を受けて初めて気付く脆弱性 サイバー演習で何を求めるか

【前編】組織における、セキュリティ体制の構築


 日本におけるサイバー攻撃の深刻さが増す中で、注目されつつあるのがサイバー演習という取り組みだ。これは、ホワイトハッカーなどが所属するセキュリティ企業が、依頼を受けた企業に模擬的なサイバー攻撃を仕掛ける、あるいはそのシナリオに基づく議論機会を提供するというものである。その目的は、企業が持つセキュリティ上の脆弱性や従業員意識の改善、被害を受けた際の組織運用の確認など多岐にわたる。サイバーセキュリティの意識はあれど、攻撃されてから組織運用の問題や脆弱性があったと判明するケースは多い。そこで今回は、サイバー演習の専門家であり、日本組織におけるセキュリティ情勢に詳しい名和利男氏に、サイバー演習の意義と日本のセキュリティ情勢について語ってもらった。

軍隊経験者が多い、海外のセキュリティ業界事情

 サイバー演習とよく耳にするものの、実際「演習」とはどういった意味なのか。小学館のデジタル大辞典では「演習」の意味として以下の3つを挙げている。

  1. 慣れるために繰り返し習うこと。練習。「―問題」
  2. 実戦や非常時を想定して行う訓練。「実弾―」「消防―」
  3. 大学・大学院などで、教授の指導のもと学生が研究・発表・討議を行うことを主眼とした、少人数の授業の形式。ゼミナール。ゼミ。

 サイバー演習の「演習」は2番目の意味にあたる。また、演習は軍事関係の話題でもよく耳にする言葉だ。実際、名和氏によれば、海外のサイバーセキュリティ担当者は軍務経験者が多く、民間でその経歴を活かすというのは通例のようだ。

──名和さんは自衛隊からセキュリティ企業へ移られた日本では珍しい経歴をお持ちですが、海外ではそういった方は多いとよく耳にします。やはりそうした傾向はありますか。

 おっしゃる通りです。米国やイギリス、あとフランスもそうですが、ITで情報を扱う特別なトレーニングを受けた方が、サイバーセキュリティ関連の専門機関に移ることが非常に多くなっています。

 さらに言えば、政治的方面でのセキュリティ研究の開発を行っている軍の機関で従事した方が民間にスピンオフすると、その経験を生かした事業に従事する傾向があるようです。

 私が以前、米国サイバーセキュリティ企業の日本領域の最高技術責任者(CTO)を務めていた時には、米国本社の上層部に米軍士官OBが多く在籍していました。自衛隊時代に在日米軍との連携業務の経験があったためか、会話はしやすかったです(笑)。

──サイバー演習というのは、自衛隊の演習のような、攻撃側と防衛側に分かれて、何十、何百の人員を動かすようなオペレーションを実際に行うのでしょうか。

 はい。サイバー演習は、実働として自衛隊のような防衛の実力組織が行う演習と類似するところが多いです。

 かつては日本だけでなく、諸外国においても、システム運用やセキュリティ対策の責任は、情シス部門にありました。システムの多くがオンプレミスであったこともあり、不具合やセキュリティ違反が発生すると、情シス部門がクローズドな形で対応できていました。

 しかしながら、今では事業部門が顧客やビジネスパートナーなどとのエンゲージメントや独自の業務効率化などの目的で、クラウドサービスなどの外部サービスを使い始めています。そのため、セキュリティインシデントが発生した場合は、情シス部門だけではなく、事業部門やリスク管理部門に加えて、外部サービス提供会社やISP(インターネットサービスプロバイダ)の協力も必要になってきます。

 そこで重要となってくるのが、サイバー攻撃に対して「誰に何ができるのか」を念頭に置いた形で、そのアサインメント(割り当て)をどうするかという点です。

 「誰」が「どこまで」できるかという部分を見計るにあたり、実際にセキュリティイ攻撃が発生した場合のレスポンス(実働を伴う対処)、および解決に導くためのハンドリング(調整を伴う対応)をサイバー演習によって疑似経験をしておかなければ、経験の有無の差だけでその後の未来を大きく左右してしまいます。なぜなら、実際に発生した際に適切な対処が「できる」もしくは「できない」という、二者択一となるからです。

次のページ
サイバー演習の意義とは

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

西隅 秀人(編集部)(ニシズミ ヒデト)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/16114 2022/07/08 09:40

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング