SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2024 秋の陣レポート

DXとセキュリティの融合法とは──経営層が自組織に見合ったリスクマネジメントを実現する4つのポイント

情報セキュリティ大学院大学 藤本正代教授が説く「DX with Cybersecurity」の重要性

 サイバーセキュリティはDXの観点から見ても欠かせないものだが、DXと同レベルで重要視している組織はあまり多いとはいえない。いまだにセキュリティ対策に十分な投資がなされていない例も多く見受けられるのが現状だ。10月25日に開催したEnterpriseZine編集部主催のカンファレンス「Security Online Day 2024 秋の陣」には、情報セキュリティ大学院大学の藤本正代教授が登壇。昨今のサイバーインシデントから見られる課題を指摘し、組織の経営層が考えるべきリスクマネジメント対策を解説した。

リスクマネジメントに必要な3要素

 藤本正代教授は、米マサチューセッツ工科大学(MIT)科学技術政策大学院を修了し、東京工業大学で社会理工学研究科経営工学を専攻、博士を取得。メーカーや保険会社のシンクタンクを経て、情報セキュリティ大学院大学の専任教授を務めている。研究してきた分野として、電子会議システムの利用促進に向けた研究、医療の情報化に関する研究、情報セキュリティ・リスクマネジメントに関する研究などを挙げた。

 研究者としての経歴の前半では、いかに情報技術を活用して我々の生活を豊かにできるかといった観点から研究を続けてきたという。その後、情報技術を安心・安全に利用するための対策についても研究を進め、サイバーセキュリティやリスクマネジメントとの接点が生まれたと藤本教授。現在は、「イノベーションとセキュリティの同時推進」をテーマとし、研究に取り組んでいる。

情報セキュリティ大学院大学 藤本正代教授

 藤本教授はまず、昨今のサイバーインシデント状況について説明。情報セキュリティ脅威の現況を示すものとして、情報処理推進機構(IPA)が発表する「情報セキュリティ10大脅威 2024」を紹介した。たとえば、ランサムウェアによる被害が多ければ、その対策としてソフトウェアの更新やセキュリティソフトの利用が叫ばれる。このように、よく語られる対応・対策は技術的なものが中心であることを指摘。技術的な対応のみならず、セキュリティを推進するための組織体制の確立や、被害を受けた後の対応など、非技術的なセキュリティ対策手段も重要であることに触れた。

 ランサムウェアの被害に遭った医療機関の報告書を見ると、ネットワーク(VPN)装置は導入当初からソフトウェアの更新が行われておらず、以前から日本国内でも話題になった「CVE-2018-13379」が放置された状態であったことがわかる。この脆弱性を悪用して侵入した可能性が高いと報告書には記載されている。こうした被害事例を踏まえ、「最新のサイバーセキュリティ脅威を踏まえてシステムの脆弱性を検討し、対策を行うといった流れでマネジメントを実施する必要があります」と藤本教授は説く。

「脅威」「脆弱性」「対策」を考えたマネジメントが重要
[画像クリックで拡大します]

 「基本的には、公開されている脆弱性に対処していけば問題ないはずですが、公開される脆弱性は年々増加しているため、すべての脆弱性に対処することは難しいです。もちろん、公開される情報の中には自組織で使用していない機器と関連していない脆弱性もあります。どのような基準で優先順位を決定し、どの脆弱性に対応するのかといったマネジメントが必要です」(藤本教授)

3つの観点でリスクと向き合う

 情報セキュリティマネジメントを行うにあたって必要なポイントは何か。藤本教授は「情報資産、脅威、既存の対策や脆弱性を考慮してリスクを定量的・定性的に評価し、優先順位をつけて適切に対応すること」「プロセス全体を通じて利害関係者に情報を提供し続けること」「継続的に監視およびレビューし、適切に対応すること」の3つを重要な観点として挙げた。

 ここで考慮すべきことは、対象となる情報資産が利益を生み出すものか、社会的責任として守るべきものかなどを見極めること。対応するセキュリティリスクに優先順位をつけるには、リスクの評価が重要となる。セキュリティ対策を実施してリスクを軽減するだけでなく、リスクを受け入れること(リスクの保有)や、ほとんど使用されていない機器やソフトウェアの使用を中止すること(リスクの回避)、そしてサイバー保険への加入など(リスクの第三者との共有)も選択肢として考えるべきだとした。そして、先に挙げた3つのポイントを実現するには「組織的な仕組み作り」が必要であると藤本教授は主張する。

マネジメントの観点による対応
[画像クリックで拡大します]

次のページ
「DX with Cybersecurity」に必要な4つのポイント

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2024 秋の陣レポート連載記事一覧

もっと読む

この記事の著者

吉澤 亨史(ヨシザワ コウジ)

元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/20680 2024/11/12 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング