あなたの財産を「守る」「増やす」「残す」ための総合情報サイト

メルマガ/無料登録 マイページ/ログイン
THE GOLD ONLINEとは メルマガ登録 カメハメハ倶楽部

従業員を装い「テレワークに必要なパスワードを忘れたので教えて」…ヒトを狙ったサイバー攻撃も。日々の対策に必要な情報をどのように収集していけばいいのか?

その他 ソーシャルスキル 企業経営
NEW
淵上 真一
従業員を装い「テレワークに必要なパスワードを忘れたので教えて」…ヒトを狙ったサイバー攻撃も。日々の対策に必要な情報をどのように収集していけばいいのか?
(※写真はイメージです/PIXTA)

昨今はサイバー攻撃によって生じるセキュリティを脅かす事件・事故の増加に応じた対策が、各企業・組織に求められています。最高情報セキュリティ責任者(以下、CISO)は日々情報やスキルをアップデートしていく必要があります。本記事ではサイバーセキュリティの第一人者である淵上 真一氏の著書『経営層のためのサイバーセキュリティ実践入門』(プレジデント社)から、CISOが実際に情報収集や分析を行う際のポイントを紹介します。

最高情報セキュリティ責任者(CISO)は経営判断も担う

組織におけるCISO設置の動きを振り返ると、2015年に初めて『サイバーセキュリティ経営ガイドライン』が公開され、経営者が認識すべき「3原則」と、経営者がセキュリティの担当幹部(CISO等)に指示すべき「重要10項目」が示されたことで、その必要性が広く認知されるようになったのではないでしょうか。

 

それまでのサイバーセキュリティは、ベンダーに任せ切りであることも珍しくなく、責任の所在がやや社外にあったように見受けられました。しかし、このガイドラインが公開された頃からは、サイバーセキュリティを自分ごととしてビジネスリスクを捉え、自分たちで主体的に守る姿勢へと変化していきました。CISOの設置は、その表れだと受け止められます。

 

このような背景もあって、CISOには組織のセキュリティリスク管理を実施する責任があるわけです。そして、CISOは経営層の一員として経営判断も担い、セキュリティリスク対策だけではなく、リスクに基づく事業への進言も大切な役割です。

 

たとえば、ある事業に受容できないセキュリティリスクが現れれば、事業の継続を判断することも求められます。そんなCISOを中心にサイバー攻撃の脅威から組織を主体的に守っていくには、情報の活用がポイントになります。

 

サイバーセキュリティに関するさまざまな情報をリスク管理の意思決定に使うことになりますが、特にサイバー脅威に関する情報を「脅威インテリジェンス」と呼び、脅威を特定し、脅威を評価し、脅威を封じ込める活動に欠かせません。

CISOは世の中の状況や情勢の変化に応じた対策が必要

CISOにとって「先が読める状態」は、セキュリティ対策を行うのに理想の状態だと言えるでしょう。

 

「いつ、どこに、どんなサイバー攻撃が発生するか、どのような影響があるか」が事前にわかれば、最適な動きをすることができるからです。実際にはわからないのですが、「先が読めれば」という要望はいつの時代においても存在するものです。

 

そんな理想を思い浮かべるときは、何かしらの意思決定が求められており、「今、何が起きているのか?」「この先、どうなるのか?」「今、何をすべきなのか?」「どのようにして実施するのか?」といったことを頭の中で描いているのではないでしょうか。

 

実際には、「過去のナレッジを蓄積して、将来に生かす」「さまざまな事象を関連づけて可能性を導き出す」「仮説を立てて、根拠を基に検証していく」といった活動を繰り返し、できるだけ理想である「先が読めた状態」を目指しているはずです。

 

世の中の状況や情勢が変わらないとすれば、目指す理想の状態に限りなく近づけることでしょう。ところが、「世の中の状況や情勢は常に変化する」という真理があり、その影響を受けてセキュリティリスクも変化し、そのギャップ(セキュリティ上弱いところ)も常に生まれ続けるため、それに対して適切な手だてを求められ続けます。

安定したセキュリティ対策のための3つの観点

この変化とギャップは「プロセス」「ヒト」「テクノロジー」という大きく3つの観点で語ることができます[図表1]。

 

[図表1]世の中の状況や情勢は常に変化する
[図表1]世の中の状況や情勢は常に変化する

 

たとえば、「プロセス」であれば、コロナ禍で働き方が変わったり、テレワークが増えたりしました。テレワーク環境を急速に整備した際、リモート接続のためにVPN装置を設置したものの、設定に不備があったことで、かなりの数のVPN(仮想専用通信網)装置が攻撃に遭ったようです。

 

また、DXの潮流も大きな関心事ではないでしょうか。ビジネスプロセス自体が変わってくるため、当然ながら仕組みも変わってきます。そうすると、セキュリティの考慮が十分に行き渡らない部分が出てきますので、そこを突かれて攻撃されてしまう恐れがあります。

 

「ヒト」の観点では、古典的な手法としてソーシャルエンジニアリング(重要情報を、ITを使用せずに盗み出す方法)があります。たとえば、従業員を装った電話に対し、「テレワークに必要なパスワードを忘れたので教えてほしい」という要望に応えてしまうのも、代表的なセキュリティリスクの1つです。

 

「テクノロジー」では、新しいテクノロジーは今後も常に導入され続けるはずです。たとえば、生成AI「ChatGPT」が使われているエンジンを搭載したばかりのシステムにセキュリティ上の欠陥が潜んでおり、その部分を攻撃者が先に見つけてしまえば、そこを攻めてくることも当然考えられます。

 

世の中の状況や情勢を的確に読み取って、セキュリティリスクを捉えて対策し続けるためにも情報が必要なことは言うまでもありません。

 

注目のセミナー情報

【国内不動産】10月3日(木)開催
【ローンのお悩みをズバッと解決】
保証会社役員登壇!まずは借入額を知ってから始める物件探しセミナー

 

【海外不動産】10月3日(木)開催
【特別プランをセミナー限定でご紹介!】
カンボジア・プノンペン初のアートコンドミニアム
Picasso Sky Gemmeの魅力徹底解説セミナー

次ページサイバー攻撃に対するリスク対策の評価
その他 ソーシャルスキル 企業経営
#サイバーセキュリティ対策#リスク管理

【第4回】の記事を読む

淵上 真一

淵上 真一

日本電気株式会社(NEC)Corporate Executive CISO兼サイバーセキュリティ戦略統括部長
NECセキュリティ取締役(※2024年4月着任)

ベンチャー系SIerにて、プログラマ、ネットワークエンジニアを経た後、学校法人にて教鞭を執る傍ら、組織のセキュリティコントロールを手がける。

また、司法・防衛関連のセキュリティトレーニングに携わる。NECではサイバーセキュリティ全社統括を担当し、NECセキュリティの取締役に着任。

CISSP認定機関ISC2の認定主任講師として人材育成活動も務めており、2016年には、ISC2よりアジアパシフィック地域でセキュリティの発展に貢献した一人として、ISLA Senior Information Security Professionalを受賞。情報処理安全確保支援士集合講習認定講師、HardeningProject実行委員、北海道大学情報基盤センター客員研究員、一般財団法人日本情報経済社会推進協会(JIPDEC)評議員、一般社団法人サイバー安全保障人材基盤協会(CSTIA)理事。著書に『イラスト図解でよくわかるネットワーク&TCP/IPの基礎知識』(技術評論社、2018)がある。

著者プロフィール詳細

連載記事一覧

連載経営者がやるべきサイバーセキュリティーの基本を解説!

連載記事一覧

※ 本連載は、淵上真一氏の著書『経営層のためのサイバーセキュリティ実践入門』(プレジデント社)より一部を抜粋・再編集したものです

経営層のためのサイバーセキュリティ実践入門

経営層のためのサイバーセキュリティ実践入門

淵上 真一

プレジデント社

ダボス会議でも重要議題となっているサイバー攻撃。自社がいつ攻撃されてもおかしくない時代に、経営者やマネジメント層が最低限知らなくてはならない基本知識を解説! 今やサイバー攻撃(不正アクセス、マルウエア、ランサ…

書籍ページ

人気記事ランキング

  • デイリー
  • 週間
  • 月間

メルマガ会員登録者の
ご案内

メルマガ会員限定記事をお読みいただける他、新着記事の一覧をメールで配信。カメハメハ倶楽部主催の各種セミナー案内等、知的武装をし、行動するための情報を厳選してお届けします。

メルマガ登録
会員向けセミナーの一覧