御社の標的型サイバー攻撃の対策レベルは?|NTTコミュニケーションズ|サイバーセキュリティ.com

  1. ホーム /
  2. セミナーレポート /
  3. 御社の標的型サイバー攻撃の対策レベルは?|NTTコミュニケーションズ
             

御社の標的型サイバー攻撃の対策レベルは?|NTTコミュニケーションズ



SecurityDays東京セミナーレポート第2回目は、NTTコミュニケーションズ株式会社竹内文孝氏による“セキュリティ対策レベル”についてのお話です!

関連サイバーセキュリティにおける産業横断の取り組みの重要性|日本電信電話

御社の標的型サイバー攻撃の対策レベルは?~情報セキュリティガバナンスの成熟度の考え方~

企業におけるセキュリティ対策の現状

NTTコミュニケーションズ株式会社 竹内文孝氏

NTTコミュニケーションズ株式会社
竹内文孝氏

サイバー攻撃に使用される“ウィルス”は驚異のスピードで増殖しています。NTTコミュニケーションズが展開するサンドボックスでのウィルス検知作業において、2013年10~20%の割合に止まっていた“未知”(検知の出来ない)のウィルスは、2015年約70%という大きな割合を占めるほど急激な進化を見せているのです。

この様な現状の中、日本企業の対策は遅れています。富士キメラ総研が行った国内サイバーセキュリティ対策調査では、各企業のセキュリティ投資率は約5%と低く、中小企業の約30%が“標的型攻撃に対する危機意識”について「よくわからない」と解答。大手企業においても、効果的なセキュリティ対策に必要不可欠であるログ監視のシステム環境が整っているのはわずか15%という結果でした。

また、内部犯行による情報漏洩も近年増加傾向にあります。個人情報漏洩により、企業には約4億円ものコストが圧し掛かると言われています。技術面での復旧作業はもちろん、顧客からの問い合わせへの対応、法的対応、是正措置などが必要となり、さらに企業の信用回復には長い年月がかかるのです。

企業に必要とされる対策とは

企業におけるサイバーセキュリティを考える上で、行動の第一段階として下記2点の取り組みが必要不可欠です。

リスクマネジメントの強化

  1. 社内体制の整備<持続可能なリスクマネジメントのフレームワークの導入>
    多種多様なシステムに対して管理者が異なることにより、セキュリティ対策に差が生まれます。社内で統一されたリスクマネジメントのフレームワークを構築することで、社員個人の力量に委ねるのではなく、企業全体としてセキュリティレベルを向上させる事が必要です。
  2. 実行力の強化<インシデント対応のライフサイクル強化>
    インシデントが発生した際の対応を整理し、企業内でライフサイクル化することで、被害拡大を抑える事が可能です。
  3. グループ全体の底上げ
    自社のセキュリティ強化だけではなく、関連企業を含むグループ全体での底上げをおこなうことにより、より強固なセキュア環境が維持されるのです。

セキュリティガバナンスの確立

  • プロセス:経営者主導の方向付け、改善活動のサイクル化
  • 人・組織:必要なスキルの習得、人材の育成や教育、処遇制度の確立
  • 技術:多層防御、相関分析、連携防御、それら技術のグループ間共有

上記項目を三位一体で取り組むことにより、初めてセキュリティガバナンスが確立されます。そしてさらに、この3項目に対しての検証・改善を継続的に行う事で、より強固なガバナンスの維持が実現できるのです。

特に、攻撃手法が日々進化を遂げる現状においては、技術面での対応も相応なものが求められます。製品自体の更新はもちろん、未知のウィルス・マルウェアに対するシグネチャーの更新等が常に必要となるのです。

自社のセキュリティ対策レベルを考える

リスクマネジメントの強化、セキュリティガバナンスの確立の次段階として、具体的なセキュリティサービスやソリューションの導入が行われます。導入に際して、まず自社のセキュリティ対策レベルの現状を知ることが大切です。

  1. リスクマネジメント、セキュリティガバナンスの設定
  2. グループ全体での共有化
  3. グループ全体での標準化
  4. 目標値の設定、具体的な行動
  5. 目標に対しての改善活動サイクル化

この段階に合わせ、効果的なサービス・ソリューションを導入する事で、グループ全体での強固なセキュア環境の実現されるのです。

NTTコミュニケーションズが提案する「Wideangle」とは

NTTコミュニケーションズでは、企業のセキュリティ対策レベルを判定し、コンサルティング・支援を提供する「Wideangle」という総合セキュリティサービスを提供しています。

海外8000件の実績を誇る「Wideangleプロフェッショナルサービス」を始め、クラウド・オンプレミスを包括し、高度なセキュリティオペレーションを実現する「Wideangleマネージドセキュリティサービス」など、企業のセキュリティレベルや予算に合わせた総合的なサービス提供が特長です。

まとめ

巧妙化するサイバー攻撃に対して、闇雲にセキュリティソリューションを導入しても、問題解決にはならないということがよくわかりました。セキュリティ対策の第一歩は“自社の現状を知ること”ですね!

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。