(※写真はイメージです/PIXTA)

昨今はサイバー攻撃によって生じるセキュリティを脅かす事件・事故の増加に応じた対策が、各企業・組織に求められています。最高情報セキュリティ責任者(以下、CISO)は日々情報やスキルをアップデートしていく必要があります。本記事ではサイバーセキュリティの第一人者である淵上 真一氏の著書『経営層のためのサイバーセキュリティ実践入門』(プレジデント社)から、CISOが実際に情報収集や分析を行う際のポイントを紹介します。

最高情報セキュリティ責任者(CISO)は経営判断も担う

組織におけるCISO設置の動きを振り返ると、2015年に初めて『サイバーセキュリティ経営ガイドライン』が公開され、経営者が認識すべき「3原則」と、経営者がセキュリティの担当幹部(CISO等)に指示すべき「重要10項目」が示されたことで、その必要性が広く認知されるようになったのではないでしょうか。

 

それまでのサイバーセキュリティは、ベンダーに任せ切りであることも珍しくなく、責任の所在がやや社外にあったように見受けられました。しかし、このガイドラインが公開された頃からは、サイバーセキュリティを自分ごととしてビジネスリスクを捉え、自分たちで主体的に守る姿勢へと変化していきました。CISOの設置は、その表れだと受け止められます。

 

このような背景もあって、CISOには組織のセキュリティリスク管理を実施する責任があるわけです。そして、CISOは経営層の一員として経営判断も担い、セキュリティリスク対策だけではなく、リスクに基づく事業への進言も大切な役割です。

 

たとえば、ある事業に受容できないセキュリティリスクが現れれば、事業の継続を判断することも求められます。そんなCISOを中心にサイバー攻撃の脅威から組織を主体的に守っていくには、情報の活用がポイントになります。

 

サイバーセキュリティに関するさまざまな情報をリスク管理の意思決定に使うことになりますが、特にサイバー脅威に関する情報を「脅威インテリジェンス」と呼び、脅威を特定し、脅威を評価し、脅威を封じ込める活動に欠かせません。

CISOは世の中の状況や情勢の変化に応じた対策が必要

CISOにとって「先が読める状態」は、セキュリティ対策を行うのに理想の状態だと言えるでしょう。

 

「いつ、どこに、どんなサイバー攻撃が発生するか、どのような影響があるか」が事前にわかれば、最適な動きをすることができるからです。実際にはわからないのですが、「先が読めれば」という要望はいつの時代においても存在するものです。

 

そんな理想を思い浮かべるときは、何かしらの意思決定が求められており、「今、何が起きているのか?」「この先、どうなるのか?」「今、何をすべきなのか?」「どのようにして実施するのか?」といったことを頭の中で描いているのではないでしょうか。

 

実際には、「過去のナレッジを蓄積して、将来に生かす」「さまざまな事象を関連づけて可能性を導き出す」「仮説を立てて、根拠を基に検証していく」といった活動を繰り返し、できるだけ理想である「先が読めた状態」を目指しているはずです。

 

世の中の状況や情勢が変わらないとすれば、目指す理想の状態に限りなく近づけることでしょう。ところが、「世の中の状況や情勢は常に変化する」という真理があり、その影響を受けてセキュリティリスクも変化し、そのギャップ(セキュリティ上弱いところ)も常に生まれ続けるため、それに対して適切な手だてを求められ続けます。

安定したセキュリティ対策のための3つの観点

この変化とギャップは「プロセス」「ヒト」「テクノロジー」という大きく3つの観点で語ることができます[図表1]。

 

[図表1]世の中の状況や情勢は常に変化する
[図表1]世の中の状況や情勢は常に変化する

 

たとえば、「プロセス」であれば、コロナ禍で働き方が変わったり、テレワークが増えたりしました。テレワーク環境を急速に整備した際、リモート接続のためにVPN装置を設置したものの、設定に不備があったことで、かなりの数のVPN(仮想専用通信網)装置が攻撃に遭ったようです。

 

また、DXの潮流も大きな関心事ではないでしょうか。ビジネスプロセス自体が変わってくるため、当然ながら仕組みも変わってきます。そうすると、セキュリティの考慮が十分に行き渡らない部分が出てきますので、そこを突かれて攻撃されてしまう恐れがあります。

 

「ヒト」の観点では、古典的な手法としてソーシャルエンジニアリング(重要情報を、ITを使用せずに盗み出す方法)があります。たとえば、従業員を装った電話に対し、「テレワークに必要なパスワードを忘れたので教えてほしい」という要望に応えてしまうのも、代表的なセキュリティリスクの1つです。

 

「テクノロジー」では、新しいテクノロジーは今後も常に導入され続けるはずです。たとえば、生成AI「ChatGPT」が使われているエンジンを搭載したばかりのシステムにセキュリティ上の欠陥が潜んでおり、その部分を攻撃者が先に見つけてしまえば、そこを攻めてくることも当然考えられます。

 

世の中の状況や情勢を的確に読み取って、セキュリティリスクを捉えて対策し続けるためにも情報が必要なことは言うまでもありません。

 

杉原 杏璃 氏登壇!
「THE GOLD ONLINE フェス 2025 @東京国際フォーラム」
(入場無料)今すぐ申し込む>>

次ページサイバー攻撃に対するリスク対策の評価

※ 本連載は、淵上真一氏の著書『経営層のためのサイバーセキュリティ実践入門』(プレジデント社)より一部を抜粋・再編集したものです

経営層のためのサイバーセキュリティ実践入門

経営層のためのサイバーセキュリティ実践入門

淵上 真一

プレジデント社

ダボス会議でも重要議題となっているサイバー攻撃。自社がいつ攻撃されてもおかしくない時代に、経営者やマネジメント層が最低限知らなくてはならない基本知識を解説! 今やサイバー攻撃(不正アクセス、マルウエア、ランサ…

人気記事ランキング

  • デイリー
  • 週間
  • 月間

メルマガ会員登録者の
ご案内

メルマガ会員限定記事をお読みいただける他、新着記事の一覧をメールで配信。カメハメハ倶楽部主催の各種セミナー案内等、知的武装をし、行動するための情報を厳選してお届けします。

メルマガ登録
会員向けセミナーの一覧