{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
今だから再認識したいセキュリティの原則 組織に最も必要なセキュリティ機能とは
今回は、どんな組織にも絶対に必要なセキュリティ機能を取り上げます。セキュリティ対策は基本的に「予防的な対策」です。これはセキュリティ対策だけでなくリスク対策全般に言える話で、家庭における身近な例に置き換えると分かりやすいでしょう。外出する際にほとんどの人が戸締まりや火の元の確認を行います。これらは防犯対策、防火対策と言われるもので、災いを招かないための予防的な対策です。企業や組織におけるセキュリティ対策も、システムの不具合や情報の漏えいなどを未然に防ぐための対策と位置付けられます。
このセキュリティ対策は、システムのメンテナンスや適切な資産管理といったさまざまな機能から成り立ちます。では、その中から絶対に必要な機能を1つだけ選ぶとしたら、何になるでしょうか。究極の質問の答えは、上記のような予防的機能ではありません。それは「セキュリティインシデント対応機能」です。
セキュリティインシデントは必ず起こる
どんな組織でもセキュリティインシデントは発生します。他業種に比べてセキュリティ対策に多額のコストを投じている金融機関であっても、社会のインフラとしてセキュリティ対策に一層の力を入れているクラウド事業者であっても、セキュリティインシデントに見舞われてしまうのは報道の通りです。企業においては、システムのバグや故障、悪意のある人間による攻撃などにより、セキュリティインシデントが起こるのは当然と考えたほうがよいでしょう。
だったら、徹底的な管理によってシステムの故障やヒューマンエラーをゼロにすればよいのではないか――。そう考えることもできますが、果たしてそれは現実的に可能でしょうか。多重に対策を講じればインシデントは起こりにくくなるものの、絶対にゼロになるとは誰も保証できません。
起こらないと思っていたセキュリティインシデントが発生し、それに適切に対応できなければ何が起こるでしょう。事業が停止したり、顧客や個人の情報が流出したりと、ビジネスに多大な損害を被った企業や組織は、枚挙にいとまがありません。ゆえに、どんな組織であってもセキュリティインシデントは起こるとの認識のもと、対応機能を備えておく必要があるのです。
セキュリティインシデント対応で最低限すべきこと
ここからは、セキュリティインシデントが起こった場合の対応法を考えます。企業や組織がまず真っ先に考えるべきことは、自社の損害の極小化です。システムが止まることによるビジネスの停滞、保有する個人情報の漏えいによる損害賠償およびブランド毀損……。対応が遅くなればなるほど、損害は大きくなるでしょう。なるべく早く元の状態で会社が機能するよう、復旧に全力を挙げることが肝心です。とりわけ、システムの復旧により事業を継続させることが最低限必要です。では、そのためには何が必要でしょうか。
セキュリティインシデント対応のプロセスとして、まずは目先の状況を把握することが必要です。「システムがダウンして使用できない」という報告がユーザーや社内からあった場合、本当にシステムがダウンしているのか、ダウンの範囲はどの程度か、どのような状況により使用できなくなっているのか、などの概要をつかむ必要があります。その上で、システムが使用できなくても続けられる業務は続け、並行してシステムの復旧策を考え、試行錯誤しながら業務の再開を目指すことになります。
情報の漏えいの場合はどうでしょうか。対策が後手に回れば、社会的なバッシングが起こり、漏えいに関連した事業の中止や撤退、個人情報保護委員会からの罰則の適用といった事態になることも十分にあり得ます。まずは情報が本当に漏えいしたのか、それはいつから始まったのか、漏えいした可能性がある情報の範囲はどの程度かを把握する必要があります。そして、情報が漏えいした可能性のある個人、個人情報保護委員会を含む監督官庁、株主などのステークホルダー、社会に対して何をどのように説明するのか決め、それを実行しなければなりません。その上で、可能であれば業務を再開するというのが現実的でしょう。
これらは当面の対応です。できなければ存続の危機に立たされますので、最低限備えるべきセキュリティ機能とも言えるでしょう。
最近では、セキュリティインシデントに対応する専門チームであるCSIRT (Computer Security Incident Response Team) を有する企業や組織が増えています。まさに、インシデント対応こそ重要な機能であるとの認識が社会に広がっているからだと考えられます。
最低限のセキュリティ機能から考える、あるべきセキュリティ対策
繰り返しになりますが、インシデントへの対応こそ最低限備えるべきセキュリティ機能です。特に、状況のスピーディーな把握と、代替策による当面の業務継続力は必須です。ではこれを踏まえて、企業や組織が日ごろから行っておくべきセキュリティ対策を考えていきましょう。
誰でもインシデントを経験すると、二度と同じ轍は踏むまいと思うでしょう。インシデント対応時には、どうしてそれが起こったのかの把握に努めます。「誰が何に対して何をしたのか」を調べることで、ID、アクセスをはじめとするログ、IT資産を適切に管理する必要性を感じるのではないでしょうか。また、インシデントが起こった後の対応についても、関係部署と否が応でも連携することになるため、日ごろからコミュニケーションをとっておく必要性を感じるでしょう。そう、企業がセキュリティ対策としてすべきことは、ID管理、ログ管理、資産管理といった予防的対策と、インシデント対応訓練です。
セキュリティ対策として何をすべきか悩んだら、セキュリティインシデントを想定した訓練を推奨します。そうすることで、自らに不足している対策と、取るべき行動の優先順位が見えてくるはずです。こうした日々の積み重ねが、万が一にインシデントが起こった時に、損害を最小限に食い止める力になることでしょう。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
