多発するサイバー攻撃への対策として、各企業から高性能なセキュリティソリューションが展開されていますが、“自社にとって最適な製品はどういったものなのか”と、判断に困っている企業も多いのではないでしょうか。

今回は、最新のセキュリティ対策サービス・ソリューションが集結する「SecurityDays 東京」に参加してきました!本日から全4回にわたって、セミナーレポートをお伝えしていきます。

第1回目の今回は、日本電信電話株式会社の藤原氏による“産業横断での取り組みの重要性”についての講演です。

サイバーセキュリティにおける産業横断の取り組みの重要性

ntt1

日本電信電話株式会社 藤原弘道氏

サイバー攻撃は日々進化を遂げています。

2012年に開催されたロンドンオリンピックでは、公式サイトに対し2億回を超えるサイバー攻撃が確認され、セキュリティ関係者は対応に追われました。

また、同時にオリンピックのメディア関係者約3万人のうち、6割に上る高い割合で端末類のマルウェア感染が発見されたことも大きな問題とされています。

サイバー攻撃の急激な進化の裏には、攻撃者側が優位となる昨今のセキュリティ現状が考えられます。IoT化が進む現代において、インターネットへ繋がる“モノ”は多様化し、その多様な環境へのセキュリティ対策が追い付いていない為、攻撃者が簡単に侵入出来てしまうような脆弱個所が存在します。

また、安価な攻撃ツールの普及も問題です。昨今ニュースで多く取りあげられるDDoS攻撃などでは、安価な価格での攻撃代行サービスの存在が確認されています。

この様な攻撃者優位な現状において、単一的なセキュリティソリューション導入のみで“防御した”と考えることは非常に危険です。

  • 企業にとって守るべき“情報”とは何か。
  • 社会にとって維持しなければならない“インフラ”とは何か。

その種類によって対策方法が異なることを考慮し、まずは守るべきものの棚卸から始め、段階的な防御策を講じる必要があるのです。

企業の課題

この様な現状を目の当たりにしてもなお、日本の企業では「サイバーセキュリティ=ITの問題」と捉え、企業レベルでの対応を行っていないケースが多く見受けられます。

・クローズな環境だから大丈夫。
・セキュリティ製品を導入しているから大丈夫。
・情報システム部門が対応しているから大丈夫。

これらの思い込みを基に安心してしまうのは、企業を滅ぼしかねない危険な行為です。

・オフィス機器の監視用に保守ベンダーと回線が繋がっているのをご存知ですか?
・USBで簡単に持ち出せてしまいますよ。
・ゼロディ攻撃は防げません。
・関連会社を踏み台とした侵入や攻撃も考えられます。
・全ての社員、全ての機器に対して、徹底した管理が出来ていると言えますか?

サイバーセキュリティは技術の問題ではなく、企業における経営課題なのです。

防御能力とは

攻撃者優位な現状において、攻撃を受けない対策は不可能です。攻撃をされても被害を出さない為に、下記のような対策を講じ、企業としての防御能力を高めることが大切です。

侵入防止 多層防御、監視早期検知
感染防止 訓練、教育、注意喚起
感染拡大防止 報告、確実な情報展開
データ保護 暗号化、秘密分散

また、大前提として、セキュリティインシデントは“不祥事”ではなく“災害”と捉えることが重要です。不祥事とする昨今の風潮が、インシデント自体を隠してしまい二次被害を生んでしまう場合もあるのです。

防御能力向上に向けた産業界横断の取り組みとは

ntt

企業における防御能力の向上とともに、企業間の垣根を超えた“産業界”としての連携も必要です。

攻撃者優位の現状に対して、産業界として、実際のインシデント事例や、それを基に考える防御策についての情報共有を行い、同じインシデントを繰り返さないよう、先手の防御を行うべきなのです。

また、セキュリティ分野の人材育成も必要不可欠です。現在の日本では、専門的なセキュリティ人材育成プログラムがなく、専任でセキュリティ対策を行う職種も確立されていません。その為、人材育成は各企業に委ねられており、企業間での能力の差が生まれています。

業界共通のセキュリティ人材育成プログラムの作成は、必要な能力習得の効率化やコスト削減はもちろん、業界全体での防御力向上を実現する画期的システムと言えます。

NTTコミュニケーションズは2015年6月、重要インフラ企業を中心とする43社による業界横断の取り組みをスタートさせました。この取り組みでは、上記にあった、インシデントに対する情報共有や、人材育成に関する検討会などが行われています。

この様な取り組みは、今後、参加業種の拡大や官民連携、グローバル化なども期待されており、日本のセキュリティの未来を変える大きな動きとなっているのです。

まとめ

進化する多様な攻撃に対し、後手の対応に留まってしまっている現状を打開すべく、「セキュリティの10年後」を見据えた取り組みが始まっています。“信頼の輪”とも言うべきこの取り組みは、防御者優位の環境を実現する大変素晴らしいものだと感じました!

現在、世界に比べセキュリティ人材育成の遅れが目立つ日本ですが、日本電機大学の「国際化サイバーセキュリティ学特別コース」設立などを始めとする動きも出てきており、専門的な人材育成機関が誕生するのも近いのではないでしょうか。第1セクションから、大変勉強になるお話でした。

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。