ASP・SaaSナビTOP > コラム > 「第一回 情報セキュリティマネジメントSummit」~知の結集でサイバ-攻撃と内部犯行に立ち向かう~

「第一回 情報セキュリティマネジメントSummit」~知の結集でサイバ-攻撃と内部犯行に立ち向かう~

【クラウド見て聞きある記(その156)】
平成28年12月8日に、目黒の目黒雅叙園で日経コンピュ-タ主催、日経NETWORK、ITpro協力、KPMGコンサルティング、アルプス システム インテグレーション、サイバーソリューションズ、アララ、シトリックス・システムズ・ジャパン、マクニカネットワークスの協賛で開催された“「第一回 情報セキュリティマネジメントSummit」~知の結集でサイバ-攻撃と内部犯行に立ち向かう~”に参加した。

DSC_1378.JPG

企業は、デジタル・トランスフォーメーションや、クラウドを前提としたIoT/AI等のテクノロジーの進展に伴い、大きな転換点を迎えている。

もはやITは、企業戦略を策定する上で、欠かせないものになってきており、重要な経営資源としてビジネスそのものを支えるものになっている。

しかしながら、ITの進展に伴い色々なものが繋がる世界(IoTが最も顕著な例)が実現し、それに伴い高度化したサイバー攻撃や内部犯行による重要な情報の漏えい事案も急増しており、情報セキュリティ対策が大きな経営課題として急浮上している。

情報セキュリティ対策については、攻撃の高度化・組織化・多様化が進み、その対策も大きな変化を見せている。

従来の情報システム担当中心の防御から、経営陣も巻き込んだ組織的な防御や、自社のみでの防御には限界があり、他(公的な)組織や企業との連携をとった対応も求められるようになってきた。

そのために企業では、経営層をトップに据えた対応組織(バーチャルでも可)を作成し、社内での役割(リスク管理やCSIRT/SEC等)の明確化や、対外との連携窓口の設定、外部活用を含めたセキュリティインテリジェンスの活用等、企業をあげての情報セキュリティマネジメントの確立が求められている。

このような状況の中、セキュリティマネジメントの最新動向や、先進企業での取り組み事例、最新の製品やサービス等の情報を手に入れるために参加した。

セミナーは、午前中に基調講演とトレンド講演が、午後からは3トラックで各々特別講演×2、トレンド講演及びソリューション講演が×3、計15セッションが行われた。基調講演から最後の特別講演までを聴講したので、その概要を報告する。

Ⅰ.基調講演
“一般企業におけるCSIRTの役割~経営者が期待するCSIRTを最小限の自社要員で実現するには~“と題し、ANAシステムズ株式会社 品質・セキュリティ監理室 ANAグループ情報セキュリティセンター ASYーCSIRT エグゼクティブマネージャー 阿部 恭一 氏から講演があった。

組織が保有すべきCSIRTの役割と業務内容についての話を中心に説明があった。

CSIRTの役割と業務内容の相関図、何を経営者から期待されているのか、平常時の役割と作業分担について、インシデント発生時の役割と作業分担について、必要となるスキル、セキュリティ機器を導入時に考慮すべき事等についての話があった。

消防訓練とおなじで“日常の訓練”が大切、という話があったが、訓練で出来ない事が本番で出来るとは思えず、これが肝だと思う。

Ⅱ.トレンド講演
“サイバーセキュリティ経営×サイバーインテリジェンス”と題し、KPMGコンサルティング株式会社 サイバーセキュリティアドバイザリー ディレクター 小川 真毅 氏より講演があった。

サイバーリスクの最新動向、企業におけるサイバーセキュリティ対応状況(調査結果)、経営課題としてのサイバーリスク、サイバーインボードルームの内容及び役割、サイバーインテリジェンス志向とは、等についての話があった。

Ⅲ.特別講演
特別講演として、3トラックで各々2セッションが行われ、2セッションを聴講したのでその概略について報告する。

1.特別講演1
“CSIRT構築の勘所~JCBーCSIRTの構築経緯を振り返る~”と題し、株式会社ジェーシービー システム本部 システム企画部 次長(システムリスク統括グループ担当) 齋藤 弘一 氏から講演があった。

CSIRTの位置づけ、なぜCSIRTを構築しようと思ったか、CSIRTの目的は、CSIRT構築のポイント、CSIRTの具体的な機能は、JCBでの構築について等についての話があった。

その中で、“火事が起きてから騒ぐのではなく、火事が起きる前に予兆を見つけて対応“という話があったが、意外と見落とされる言葉だと思う。

2.特別講演2
“伊藤忠CERTありのまま”と題し、伊藤忠商事株式会社 IT企画部 技術統括室長 ITCCERT長 北野 隆 氏から講演があった。

2012年にCERT/CSIRTを立ち上げたキッカケ、2012年6月に実施した2つの施策、その後に実施したセキュリティ関連の対策、2015年に2つの施策を経営に宣言、セキュリティ関連の組織体制について、利用している製品等についての話があった。

2015年に実施した経営での宣言については、セキュリティ基盤の運用強化と、専門家を雇用し内部にプロを置く、との話があったが、重要なポイントだと思う。

Ⅳ.ソリューション講演
ソリューション講演として、3セッションを聴講したので、その概要について報告する。

1.セッション1(トレンド解説:提供JR東日本)
“2016年→2017年セキュリティトレンド動向から自社の弱点を探れ!”と題し、日本セキュリティ・マネジメント学会 理事 萩原 栄幸 氏から講演があった。

現在の情報セキュリティの現場で起こっている事、サイバー攻撃の真実、来年の動向等について具体的な事例を交えて話があった。

あくまでも個人的な意見という事だったが、少し角度の違う方向からの分析で非常に参考になった。

2.セッション2(ソリューション講演)
“企業存続すら脅かす標的型攻撃を根本的に阻止! 今、求められている新たなメールセキュリティ対策とは?“と題し、サイバーソリューションズ株式会社 代表取締役社長 秋田 健太郎 氏から講演があった。

今、早急に求められる新たなメールセキュリティ対策とは、根本的な対策としてのインターネット分離、サイバーソリューションズのメール無害化ソリューションについて、その他のセキュリティ対策で注意すべき事等についての話があった。

“標的型攻撃の78%はメールでやってくる”との話があったが、これに対する防御のかなり有効だと思う。

3.セッション3(ソリューション講演)
“実例から学ぶ!新しい情報セキュリティ基盤~無線LANからクラウドまで守る、実行可能な対策とは~“と題し、フォーティネットジャパン株式会社 プロダクトマーケティング部 スペシャリスト 山田 麻紀子 氏から講演があった。

無線LANに対するセキュリティの重要性、クラウド時代の標的型攻撃対策について、包括的な情報セキュリティ基盤の必要性等の話があった。具体的な事例を交えての話があり、わかり易い内容だった。

Ⅳ.全体的な感想
セキュリテリスク対策については、多層防御が唯一の方法との認識が広がっているが、攻撃側の多様化や発見までに要する時間が長い事等により、1社での対応は難しくなっている。

対策は情報システム部の仕事、との考え方から脱し、経営課題として捉え、全社を挙げての対策を行う必要があるが、事例や最近の状況を聞く事により、それらの重要性を改めに認識することができた。

また、対策が色々な部署/組織や社外までに及ぶことにより、全体の統制や連携の調整、連絡窓口の明確化等を行い、活動する必要があるが、これらをマネジメントする事が最も重要となってくると思う。

セキュリティ対策については、やり方によっては際限なく資源(人、モノ、金等)の投入が必要になるが、自社の状況を出来るだけ可視化し、どのような対策が本当に必要かを見極める事が重要になってくると思う。

そのためにも、セミナー等を利用し他社での事例や最新の製品及びソリューション等を学ぶことも、益々必須要件になってくと思う。

 

コラム著者紹介
 
 
HNコンサルティング代表
永松 秀通 (ながまつ ひでみち)

更新情報

サービス新着/更新もっと読む

最新インタビュー/特集もっと読む

アクセスランキング 総合


業種別メニュー

サービス別メニュー


このページのTOPへ