SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2017 イベントレポート

サイバー攻撃防御で今後重要になるのは「業界全体の情報共有」と「攻撃者目線によるリスク予測」だ――日本放送協会 情報システム局、熱海徹氏が解説

制御系システムのセキュリティは全体観とマッピングが必須

 それでは、放送の制御系システムでは、どのような考えのもとでセキュリティ対策が行なわれているのか。まず、放送の制御系システムのセキュリティは、可用性を最大限確保するため運用上の制限が多いことが特徴だという。つまり、可用性を担保するためにセキュリティリスクをどこまで許容していいか、その判断が常につきまとう。1つのシステムに様々な機能が組み込まれ、従来の専用コンピュータではなく、汎用コンピュータで成り立っていることから、更新プログラムや再起動が必要な環境であるにも関わらず、容易に実施出来ないのが実情だ。

 

 脆弱性が可能性として残されているシステムについて、いざというときにどのような影響が出るのか、明確な答えを得ることは難しいが、そこをあえて想定し、最悪の結果につながらないように対処方法を判断する必要がある。そして、それを決定するのは、CIOなのかCTOなのか。

 熱海氏は「そうした手順こそ決定しておくことが重要」と語る。重要インフラのセキュリティ管理として大切なことは、サイバー攻撃が「発見されているか否か」にリスク判断の軸足を置くのではなく、攻撃が発生した際に起こりうる被害を想定し、発見できた「穴」を“何らかの形で可能な限り早期に”対処する“という「方針を決めておくこと」が大切だ。 そうしたリスクマネジメントを考えると、もはや自社だけで行なうのは不可能に近い。特定のシステムや情報だけでなく、企業としての運用(事業継続)やレピュテーション(評判)を守ることが必要となるからだ。

 熱海氏はこれまでの施策を振り返り、「今まで高額なセキュリティ対策を導入してきたことで、単に安心感を得てきただけなのではないか」と自問する。それが本当に役に立ったのか、効果的に効率的にセキュリティに貢献できたのか、本当に意味があったのか――。それはそのまま多くのセキュリティ担当者への問いかけとなるだろう。攻撃者は、システムや組織に内在する脆弱性・弱みを巧妙についてくる。『入れて安心』ではなく、守る側も即時に同じ手法で対策を行うしかない。

 そのための方策として、熱海氏が推奨するのは、想定される個々のリスクの相関関係・要因の分析まで踏み込んだ「セキュリティマップ」の作成だ。それも単にシステムリスクの有無の可能性だけでなく、異常と判断する仕組みや被害の影響範囲などに加え、コミュニケーション面などサイバーセキュリティ以外についても多面的・体系的にリスクを洗い出し・分析を行うことが重要だという。

 「個々のセキュリティ対策の詳細に踏み込むのと並行し、全体像をとらえることが必要です。天災、設備障害等のリスクはマッピングができています。たとえば、首都直下地震が起きた時、職員はどうやって業務を継続するのか、おそらく一定のルールが設けられているでしょう。同様にサイバー攻撃についても、企業にとっての深刻度に応じた手順を事前に決めておき、誰が判断するのかを決めておくことが大切です」

 確かに災害などのリスクに関するマネジメントは、責任者がいて手順も明確化されて、体系化されていることが多い。そこにシステムのセキュリティについてもマッピングしておき、全体の一部として認識するというわけだ。具体的にはリスクのレベルに応じて、対策や責任者を明確化し、図式化しておくとよいという。

 こうした意識づけをする意義を、熱海氏は「正常性バイアス」の恐ろしさを踏まえて語る。たとえばちょっとしたマルウェアが来ても、多くの人は「自分は大丈夫」と思い込み、「大したことない」と判断して仕事を続行してしまう。しかし、そうした1人がいれば、全員が被害を被ることに他ならない。それはまるで「自分は詐欺にあわない」と思っている人ほど詐欺の犠牲になりやすいのと大変似ている。「自分には関係ないと思う心理」、それが最終的には組織に大きな被害を与えてしまう。

次のページ
今後期待される「業界全体の情報共有」と「攻撃者目線によるリスク予測」

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2017 イベントレポート連載記事一覧

もっと読む

この記事の著者

伊藤真美(イトウ マミ)

フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/9902 2017/10/16 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング