SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

クラウド時代のセキュリティ・リテラシー(AD)

対談:再度問われる、クラウドの法的課題と日本企業のセキュリティガバナンス【弁護士 高橋郁夫氏×日本HP 藤田政士氏】

クラウド時代のセキュリティ教育―経営視点と技術視点の両方を語れる存在が重要に

藤田 クラウドが普及しているいま、企業では教育が追いついていないのではと考えています。経営者は特にそうです。クラウドにどんな特性があるのか、どんなリスクがあるのか。私が普段からセキュリティ対策として顧客の経営者に話していることがあります。報道でセキュリティに関する事件を見たら「分かったふり」せず、CIOなりシステム部長なり呼んでハラオチするまで聞くようにしてください。同時に自社は対策しているかどうか。していないなら問題は予算なのか教育なのかが分かります。普段からそうしたことを心がけるだけでも大きく違いますと話しています。

 藤田 政士氏 日本ヒューレット・パッカード株式会社 テクノロジーサービス事業統括  テクノロジー・コンサルティング統括本部 IT戦略コンサルティング部エンタープライズ・アーキテクト 
▲藤田 政士氏
日本ヒューレット・パッカード株式会社 テクノロジーサービス事業統括  
テクノロジー・コンサルティング統括本部
IT戦略コンサルティング部エンタープライズ・アーキテクト 

高橋 ガバナンスのフレームワークの大きな土台に教育があるということですね。私自身、ここ数年インフラ系の情報セキュリティを守ることに関心があります。まえにNATOにあるCCDCOE(Cooperative Cyber Defence Centre of Excellence)のシンポジウムに行きました。そこで机上訓練をしていました。海外からの攻撃を受けて深刻な被害が生じているという状況を想定し、自分は国の法務官としてシミュレーションするのです。必要な対策は何かと。こうした訓練はITインシデントにも対象を広げて、経営者もやると有意義ではないかと思いました。

 例えば自社で情報漏えいが起きたようだというところから始まり、経営者として何から調査をして、どんな対策を採るか。こうした訓練もしておく必要があるのではないでしょうか。

藤田 インシデントは発生を防ぐのが一番ですが、起きてしまったらどう対応するかが大事です。顧客企業には「普段から火災訓練はしているでしょう?ITインシデントの訓練はしていますか?」と尋ねたりしています。

高橋 実際にインシデントが発生したらやることは多く複雑です。データが漏えいしたらその追跡、疑わしい人物のメールや共有フォルダを調査する。どこまで技術的に可能か。削除されていたり、クラウドにあったならどうか。分析に多大な時間がかかるでしょうから、事前にどれだけ大変か訓練することは必要でしょうね。

藤田 メールに関しては会社に管理権があると社員に伝えておくと効果的です。例えば会社のメールに同窓会の案内が届き、返事することもあるでしょう。それを禁止するのではなく、「メールは、必要に応じて調べることもあります。メールは業務のために提供しているのだから管理権は会社にあります」と伝えるだけでも社員の意識は変わってきます。教育や周知徹底は重要です。

 これからは経営者の視点と具体的な技術知識、両方語れる人の存在は貴重です。ポリシーを策定しても、実際の業務手順にまで反映されていなかったり、社員の意識や理解が不十分である場合もありますから。

高橋 規則だけではなく習慣も大事です。顧客の個人情報に関する情報は個人が紐付くような状態でデータを保存しておかず、マッピングを行うとか、普段から固有名詞を出さないようにするとかです。  

 「パスワードを定期的に変えましょう」というような実務的なレベルだけではなく、インテリジェンスの意識や習慣も含めたレベルにまで落としていくということですね。海外の軍経験者だとインテリジェンスの観点でデータを見ていますが、日本では危機感がまだ希薄です。  

 昔の産業スパイなら夜中にオフィスに忍び込んで情報を盗むなどしていましたから、防御するには鍵をかけたり、守衛をおけば十分でした。しかしクラウドだと自分たちも外部にいますし、昨今では標的型攻撃も深刻です。守る方法が違います。

 

クラウドに関わる全ての人へ!CSA認定「クラウドセキュリティ研修」

 クラウドサービスが普及しつつある中で、セキュリティの問題を認識しつつも何をしたら良いかわからない方が多いのではないでしょうか?

 日本HPでは、このような方々のためにクラウドユーザーが理解しておかなければならないリスクや課題を基礎から学ぶトレーニングを開始しました。クラウド&ビッグデータ時代に企業で求められる必須のセキュリティトレーニングです。

※本コースは、Cloud Security Alliance(CSA)のクラウドコンピューティングのためのセキュリティガイダンスに基づいています。

★CSA認定「クラウドセキュリティ基礎(1日間)」の詳細はこちらから

★CSA認定「クラウドセキュリティプラス(2日間)」※の詳細はこちらから

クラウドセキュリティプラスはAWSを利用した演習を含みます。

基礎からガバナンスまでクラウドセキュリティが学べる!
HPの「セキュリティ研修」

 HPの「セキュリティ研修」では、クラウドセキュリティのトレーニング以外にも、情報セキュリティの基礎を始めとして、リスク分析やBCP(継続性計画)の作成、組織全体のガバナンスまで、幅広いセキュリティ分野を体系立てて提供しています。

★HP「セキュリティ研修」の詳細はこちらから

次のページ
BCPとしてのクラウドの是非、セキュリティガバナンスの考え方とは?

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
クラウド時代のセキュリティ・リテラシー連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6018 2015/05/15 12:58

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング