Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

対談:再度問われる、クラウドの法的課題と日本企業のセキュリティガバナンス【弁護士 高橋郁夫氏×日本HP 藤田政士氏】

  2014/08/06 11:00

クラウド時代のセキュリティ教育―経営視点と技術視点の両方を語れる存在が重要に

藤田 クラウドが普及しているいま、企業では教育が追いついていないのではと考えています。経営者は特にそうです。クラウドにどんな特性があるのか、どんなリスクがあるのか。私が普段からセキュリティ対策として顧客の経営者に話していることがあります。報道でセキュリティに関する事件を見たら「分かったふり」せず、CIOなりシステム部長なり呼んでハラオチするまで聞くようにしてください。同時に自社は対策しているかどうか。していないなら問題は予算なのか教育なのかが分かります。普段からそうしたことを心がけるだけでも大きく違いますと話しています。

 藤田 政士氏 日本ヒューレット・パッカード株式会社 テクノロジーサービス事業統括  テクノロジー・コンサルティング統括本部 IT戦略コンサルティング部エンタープライズ・アーキテクト 
▲藤田 政士氏
日本ヒューレット・パッカード株式会社 テクノロジーサービス事業統括  
テクノロジー・コンサルティング統括本部
IT戦略コンサルティング部エンタープライズ・アーキテクト 

高橋 ガバナンスのフレームワークの大きな土台に教育があるということですね。私自身、ここ数年インフラ系の情報セキュリティを守ることに関心があります。まえにNATOにあるCCDCOE(Cooperative Cyber Defence Centre of Excellence)のシンポジウムに行きました。そこで机上訓練をしていました。海外からの攻撃を受けて深刻な被害が生じているという状況を想定し、自分は国の法務官としてシミュレーションするのです。必要な対策は何かと。こうした訓練はITインシデントにも対象を広げて、経営者もやると有意義ではないかと思いました。

 例えば自社で情報漏えいが起きたようだというところから始まり、経営者として何から調査をして、どんな対策を採るか。こうした訓練もしておく必要があるのではないでしょうか。

藤田 インシデントは発生を防ぐのが一番ですが、起きてしまったらどう対応するかが大事です。顧客企業には「普段から火災訓練はしているでしょう?ITインシデントの訓練はしていますか?」と尋ねたりしています。

高橋 実際にインシデントが発生したらやることは多く複雑です。データが漏えいしたらその追跡、疑わしい人物のメールや共有フォルダを調査する。どこまで技術的に可能か。削除されていたり、クラウドにあったならどうか。分析に多大な時間がかかるでしょうから、事前にどれだけ大変か訓練することは必要でしょうね。

藤田 メールに関しては会社に管理権があると社員に伝えておくと効果的です。例えば会社のメールに同窓会の案内が届き、返事することもあるでしょう。それを禁止するのではなく、「メールは、必要に応じて調べることもあります。メールは業務のために提供しているのだから管理権は会社にあります」と伝えるだけでも社員の意識は変わってきます。教育や周知徹底は重要です。

 これからは経営者の視点と具体的な技術知識、両方語れる人の存在は貴重です。ポリシーを策定しても、実際の業務手順にまで反映されていなかったり、社員の意識や理解が不十分である場合もありますから。

高橋 規則だけではなく習慣も大事です。顧客の個人情報に関する情報は個人が紐付くような状態でデータを保存しておかず、マッピングを行うとか、普段から固有名詞を出さないようにするとかです。  

 「パスワードを定期的に変えましょう」というような実務的なレベルだけではなく、インテリジェンスの意識や習慣も含めたレベルにまで落としていくということですね。海外の軍経験者だとインテリジェンスの観点でデータを見ていますが、日本では危機感がまだ希薄です。  

 昔の産業スパイなら夜中にオフィスに忍び込んで情報を盗むなどしていましたから、防御するには鍵をかけたり、守衛をおけば十分でした。しかしクラウドだと自分たちも外部にいますし、昨今では標的型攻撃も深刻です。守る方法が違います。

 

クラウドに関わる全ての人へ!CSA認定「クラウドセキュリティ研修」

 クラウドサービスが普及しつつある中で、セキュリティの問題を認識しつつも何をしたら良いかわからない方が多いのではないでしょうか?

 日本HPでは、このような方々のためにクラウドユーザーが理解しておかなければならないリスクや課題を基礎から学ぶトレーニングを開始しました。クラウド&ビッグデータ時代に企業で求められる必須のセキュリティトレーニングです。

※本コースは、Cloud Security Alliance(CSA)のクラウドコンピューティングのためのセキュリティガイダンスに基づいています。

★CSA認定「クラウドセキュリティ基礎(1日間)」の詳細はこちらから

★CSA認定「クラウドセキュリティプラス(2日間)」※の詳細はこちらから

クラウドセキュリティプラスはAWSを利用した演習を含みます。

基礎からガバナンスまでクラウドセキュリティが学べる!
HPの「セキュリティ研修」

 HPの「セキュリティ研修」では、クラウドセキュリティのトレーニング以外にも、情報セキュリティの基礎を始めとして、リスク分析やBCP(継続性計画)の作成、組織全体のガバナンスまで、幅広いセキュリティ分野を体系立てて提供しています。

★HP「セキュリティ研修」の詳細はこちらから


著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online&nbs...

バックナンバー

連載:クラウド時代のセキュリティ・リテラシー
All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5