SecurityDays東京セミナーレポート第2回目は、NTTコミュニケーションズ株式会社竹内文孝氏による“セキュリティ対策レベル”についてのお話です!

御社の標的型サイバー攻撃の対策レベルは?
~情報セキュリティガバナンスの成熟度の考え方~

企業におけるセキュリティ対策の現状

NTTコミュニケーションズ株式会社 竹内文孝氏

NTTコミュニケーションズ株式会社
竹内文孝氏

サイバー攻撃に使用される“ウィルス”は驚異のスピードで増殖しています。
NTTコミュニケーションズが展開するサンドボックスでのウィルス検知作業において、2013年10~20%の割合に止まっていた“未知”(検知の出来ない)のウィルスは、2015年約70%という大きな割合を占めるほど急激な進化を見せているのです。

この様な現状の中、日本企業の対策は遅れています。
富士キメラ総研が行った国内サイバーセキュリティ対策調査では、各企業のセキュリティ投資率は約5%と低く、中小企業の約30%が“標的型攻撃に対する危機意識”について「よくわからない」と解答。大手企業においても、効果的なセキュリティ対策に必要不可欠であるログ監視のシステム環境が整っているのはわずか15%という結果でした。

また、内部犯行による情報漏洩も近年増加傾向にあります。
個人情報漏洩により、企業には約4億円ものコストが圧し掛かると言われています。
技術面での復旧作業はもちろん、顧客からの問い合わせへの対応、法的対応、是正措置などが必要となり、さらに企業の信用回復には長い年月がかかるのです。

企業に必要とされる対策とは

企業におけるサイバーセキュリティを考える上で、行動の第一段階として下記2点の取り組みが必要不可欠です。

1 リスクマネジメントの強化

社内体制の整備<持続可能なリスクマネジメントのフレームワークの導入>

多種多様なシステムに対して管理者が異なることにより、セキュリティ対策に差が生まれます。
社内で統一されたリスクマネジメントのフレームワークを構築することで、社員個人の力量に委ねるのではなく、企業全体としてセキュリティレベルを向上させる事が必要です。

実行力の強化<インシデント対応のライフサイクル強化>

インシデントが発生した際の対応を整理し、企業内でライフサイクル化することで、被害拡大を抑える事が可能です。

グループ全体の底上げ

自社のセキュリティ強化だけではなく、関連企業を含むグループ全体での底上げをおこなうことにより、より強固なセキュア環境が維持されるのです。

2 セキュリティガバナンスの確立

  • プロセス:経営者主導の方向付け、改善活動のサイクル化
  • 人・組織:必要なスキルの習得、人材の育成や教育、処遇制度の確立
  • 技術:多層防御、相関分析、連携防御、それら技術のグループ間共有

上記項目を三位一体で取り組むことにより、初めてセキュリティガバナンスが確立されます。
そしてさらに、この3項目に対しての検証・改善を継続的に行う事で、より強固なガバナンスの維持が実現できるのです。
特に、攻撃手法が日々進化を遂げる現状においては、技術面での対応も相応なものが求められます。
製品自体の更新はもちろん、未知のウィルス・マルウェアに対するシグネチャーの更新等が常に必要となるのです。

自社のセキュリティ対策レベルを考える

リスクマネジメントの強化、セキュリティガバナンスの確立の次段階として、具体的なセキュリティサービスやソリューションの導入が行われます。
導入に際して、まず自社のセキュリティ対策レベルの現状を知ることが大切です。

レベル1 リスクマネジメント、セキュリティガバナンスの設定
レベル2 グループ全体での共有化
レベル3 グループ全体での標準化
レベル4 目標値の設定、具体的な行動
レベル5 目標に対しての改善活動サイクル化

この段階に合わせ、効果的なサービス・ソリューションを導入する事で、グループ全体での強固なセキュア環境の実現されるのです。

NTTコミュニケーションズが提案する「Wideangle」とは

NTTコミュニケーションズでは、企業のセキュリティ対策レベルを判定し、コンサルティング・支援を提供する「Wideangle」という総合セキュリティサービスを提供しています。

海外8000件の実績を誇る「Wideangleプロフェッショナルサービス」を始め、クラウド・オンプレミスを包括し、高度なセキュリティオペレーションを実現する「Wideangleマネージドセキュリティサービス」など、企業のセキュリティレベルや予算に合わせた総合的なサービス提供が特長です。

まとめ

巧妙化するサイバー攻撃に対して、闇雲にセキュリティソリューションを導入しても、問題解決にはならないということがよくわかりました。
セキュリティ対策の第一歩は“自社の現状を知ること”ですね!

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。

この記事が気に入ったら
フォローしよう

最新情報をお届けします

Twitterでフォローしよう

おすすめの記事