大半の組織がセキュリティ対策で一番下の「レベル1」、一体どうすればいい? | 東京IT新聞

大半の組織がセキュリティ対策で一番下の「レベル1」、一体どうすればいい?

コンシューマー セキュリティ

セキュリティ対策の重要性を否定する経営陣は今やいないと思います。しかし重要性は理解していても難解なキーワードや、一般的にセキュリティ対策は「コスト」としてでしか見ていない経営陣に対して、セキュリティ強化や改善に向けた予算を捻出する交渉はとても大変な作業です。本連載の第30回目は、そんな状態から一歩先に進むため、自社の対策レベルが4段階のうちどこにあるのかを考えてみましょう。

経営陣から「ウチは大丈夫か?」に明確に答えられない

 ひとたび情報漏洩事故が発生したり、同業他社で事案(事件)が発生したりして、新聞などで騒がれると、経営陣から「ウチは大丈夫か?」とIT部門に急に指示が飛ぶ――、そんな光景は今となっては日常的かもしれません。

 しかし、それから一歩先に進みたくても進めない組織が大多数を占めるのが現状。今回は、組織としてセキュリティ対策の強化や改善に向けて、客観的な対策レベル(セキュリティ対策の成熟度モデル)を元に、解説して参りましょう。

 たとえば突然、経営陣から、「ウチのセキュリティ対策レベルはどれくらいなんだ?」などと聞かれた場合、どのように回答されますか。

 「ファイアウォールやIPS(侵入防止システム)、ウイルス対策などで防御しているので大丈夫です」とか、「SOC(ソック=セキュリティオペレーションセンター)やCSIRT(シーサート=インシデントの対応組織)を社内を構築したので運用はできています」とか、そういった返答をしているのではないでしょうか。

 実はこうした返答は、一見、答えになっているようで、経営陣が求めている回答内容ではありません。

投資判断をする上での客観的で定量的な情報がない

 そもそも基準となるセキュリティ対策レベルが定義されていない中で、自分の組織のセキュリティ対策技術や運用を回答したところで、「だから何なの?」という怪訝な顔を経営陣にされてしまうことでしょう。

 重要なポイントは、基準となるセキュリティ対策レベル、言い換えると最先端のサイバー攻撃(外部犯行)や組織内の人間による情報窃取行為(内部犯行)に対して、客観的な基準となる対策レベルを元に、自組織がどのレベルにあるのかを定義しないと経営陣が求める客観性に欠けてしまう訳です。

 “おらが大将”的なセキュリティは経営陣が認められませんし、ましてや大切な予算をセキュリティに割り当てる判断もできません。

 世の中は少し間違った風潮があるように感じますが、経営陣はセキュリティは確かに「コスト」と認識しているケースが多いのは事実ですが、事業継続(BCP)の観点で、重要な投資項目としても認識しています。

 しかし投資判断をする上での客観的で定量的な情報がないために、「判断できない」のが現状だと私は思っています。

4段階の最高ランクがセキュリティ対策のあるべき姿

現状のサイバーセキュリティ対策レベル

 自組織の対策レベルが明確になると、想定される脅威に対して、組織が目指すべき対策レベル(セキュリティレベル)に向けて経営者側と合意形成が取れない限り、毎年の予算申請や、都度発生する脅威に対する「もぐらたたき対応」で現場が疲弊してしまい、さらには事案(事件)発生という事態につながってしまいかねません。

 いわゆる「セキュリティ対策の負のスパイラル」にはまってしまうのです。 本連載でも何度も指摘してきましたが、パッケージ型の「ツール」や「サービス」を買えば対策ができてしまうほど、昨今のセキュリティ対策は甘くありません。

 ではセキュリティ対策レベルとは一体どういうものか。まずは上の図を見てください。皆さんの組織の対策レベルはどのレベルに該当しますでしょうか。

 筆者が実際に国内企業や行政機関へサービス提供している経験値で言いますと、大半が「対策レベル1」という状態です。

 あるべきレベルは「対策レベル4」なのですが、そもそも組織が対策レベル1なのか2なのかを定義する事は、自分で自分の評価ができないように、外部専門家との連携が必須となります。

 目指すべき対策レベルも、「レベル1」から一足飛びに「レベル4」になるわけでもありません。

 重要なのは、中長期的な想定脅威に対して組織の対策レベルを踏まえ、目指すべき対策レベルを定義することです。

 次回(第31回)は、対策レベルを定義する上で必要となる考え方(ステップ)について解説していきます。

《楢原 盛史》

特集

コンシューマー アクセスランキング

  1. 話題の「ユーチューバー」は本当に儲かる? その実態と現実を先駆者に聞く

    話題の「ユーチューバー」は本当に儲かる? その実態と現実を先駆者に聞く

  2. <IT坊主の説話>実は「経営」や「経済」は仏教から生まれた用語だった

    <IT坊主の説話>実は「経営」や「経済」は仏教から生まれた用語だった

  3. 実はすごい「ホームドア」 鉄道の自動運転化には欠かせぬ存在だった

    実はすごい「ホームドア」 鉄道の自動運転化には欠かせぬ存在だった

  4. 子供に超人気!5歳のユーチューバー“がっちゃん”はどうやって生まれたか

  5. <IT坊主の説話>洗脳か納得か「身口意(しんくい)」の意味を知る重要性

アクセスランキングをもっと見る

page top