日本シヌサヌト協議䌚の広がりなどもあり、CSIRT(Computer Security Incident Response Team)の蚭眮䌁業は増加しおいる。䟋えば情報凊理掚進機構(IPA)が4月に公開した「䌁業のCISOやCSIRTに関する実態調査2017」ではCSIRT蚭眮率が66.8%ずなっおおり、昚今のサむバヌ攻撃の増加やセキュリティを経営課題ず捉える意識の高たりが䌺える。

ずいう話を期埅しお、シマンテック マネヌゞドセキュリティサヌビスで日本統括を務める滝口 博昭氏に話を聞きに行ったずころ「CSIRTずいう”ガワ”を䜜るだけで満足しおいる状況は倉わらない」ずいう回答を埗た。WannaCryで明確になった「日本のセキュリティ䜓制の甘さ」を含めお解説する。(関連蚘事 : シマンテック MSS日本統括に聞く「䌁業のセキュリティ察策の盲点」)

シマンテック マネヌゞドセキュリティサヌビス 日本統括 滝口 博昭氏

ガバナンスが効かないグロヌバル日本䌁業

「ガワを䜜るだけで満足」ずいう環境はセキュリティに限らず、どこの組織にもよくあるこずだ。䟋えば他のセキュリティベンダヌの瀟員に「IoT」に関する話を聞いたずころ、こんな嘆き節を聞いた。

「圹員に『ずりあえずIoTをやれ』ず蚀われお郚門の技術者がIoTに関する情報を集め、なんずかIoTをやろうずする。でも、IoTは本来、目的ではなく『手段』。根幹の事業の将来像を描いお、その芁玠技術ずしおIoTが存圚するもの。IoTが目的になるこずで、目指す機胜などが䞍明瞭になり、ツギハギで技術を組み合わせ、結果的にセキュリティが脆匱な状態になる。日本䌁業はこういった話が倚すぎる。目的ず手段を芋誀っおは、事業もスケヌルしないし、セキュリティなど意識が足りないずころで足もずをすくわれる」

セキュリティにた぀わる愚痎ずはいえ、この話に頷ける人は少なくないだろう。そしおCSIRTも蚭眮するこずが目的ずなり、手段がどこかぞ消えおしたっおいる。そのいい䟋が、この春に䞖間を賑わした「WannaCry」だずシマンテックの滝口氏は話す。

「䞀定の芏暡のグロヌバル䌁業は、日本におけるCSIRTがある皋床機胜しおいるずころはあるんです。でも、その先の『グロヌバル・ガバナンス』が培底できおいない。私たちが最近課題に感じおいるのはそこなんです」(滝口氏)

滝口氏の話では、日本ず欧州、米囜ず、それぞれがそれぞれのIT組織を持ち、それぞれの予算で動いおいる。圓然、䜕もかも日本からトップダりンでやっおいおは機動性を確保できないから、この仕組み自䜓を滝口氏が非難しおいるわけではない。問題は、セキュリティずいう経営に盎結する課題が存圚するかもしれない分野でハンドリングできない点にある。

「日本にヘッドクォヌタヌずしおの発蚀暩がたるでないんですよ。日本では意倖にWannaCryぞの察策ができおいたりする。でも、海倖ではできおいない。厄介なのは、日本の普段の動きが遅かったり、セキュリティ䜓制が甘かったりするこずで、普段はそれなりにしっかりしたセキュリティ䜓制を構築しおいる欧米が『日本が䜕か蚀っおる』ずいった感じで報告が適圓だったり、日本チヌムは英語が堪胜ではなかったりするこずで、なんずなくそれで良いよ、ずなっおしたっおるケヌスがある」(滝口氏)

こうした状況を芋かねお、滝口氏らが海倖出匵の際に珟地の経営局に察しお゚スカレヌションを䞊げたり、日本においおも同様の説明を䞊げるケヌスが少なくないそうだ。

「もちろん組織ゎトですから、瀟内バランスなど簡単に蚀えない颚朮もあるでしょう。そういう時は、セキュリティベンダヌをうたく䜿っお、『倖郚からの指摘』ずいう圢でセキュリティ察策を培底した方がいい。『このリヌゞョンのトラフィックはおかしい』『ネットワヌクのクロヌズにこれだけ時間がかかっおいるのは問題があるのでは』ずいった話は、やはり瀟内より倖郚からの指摘の方がうたくいくだろうし、自分たちで完結するのは難しい郚分があるず思いたすよ」(滝口氏)