日本シーサート協議会の広がりなどもあり、CSIRT(Computer Security Incident Response Team)の設置企業は増加している。例えば情報処理推進機構(IPA)が4月に公開した「企業のCISOやCSIRTに関する実態調査2017」ではCSIRT設置率が66.8%となっており、昨今のサイバー攻撃の増加やセキュリティを経営課題と捉える意識の高まりが伺える。
という話を期待して、シマンテック マネージドセキュリティサービスで日本統括を務める滝口 博昭氏に話を聞きに行ったところ「CSIRTという”ガワ”を作るだけで満足している状況は変わらない」という回答を得た。WannaCryで明確になった「日本のセキュリティ体制の甘さ」を含めて解説する。(関連記事 : シマンテック MSS日本統括に聞く「企業のセキュリティ対策の盲点」)
 |
|
シマンテック マネージドセキュリティサービス 日本統括 滝口 博昭氏 |
ガバナンスが効かないグローバル日本企業
「ガワを作るだけで満足」という環境はセキュリティに限らず、どこの組織にもよくあることだ。例えば他のセキュリティベンダーの社員に「IoT」に関する話を聞いたところ、こんな嘆き節を聞いた。
「役員に『とりあえずIoTをやれ』と言われて部門の技術者がIoTに関する情報を集め、なんとかIoTをやろうとする。でも、IoTは本来、目的ではなく『手段』。根幹の事業の将来像を描いて、その要素技術としてIoTが存在するもの。IoTが目的になることで、目指す機能などが不明瞭になり、ツギハギで技術を組み合わせ、結果的にセキュリティが脆弱な状態になる。日本企業はこういった話が多すぎる。目的と手段を見誤っては、事業もスケールしないし、セキュリティなど意識が足りないところで足もとをすくわれる」
セキュリティにまつわる愚痴とはいえ、この話に頷ける人は少なくないだろう。そしてCSIRTも設置することが目的となり、手段がどこかへ消えてしまっている。そのいい例が、この春に世間を賑わした「WannaCry」だとシマンテックの滝口氏は話す。
「一定の規模のグローバル企業は、日本におけるCSIRTがある程度機能しているところはあるんです。でも、その先の『グローバル・ガバナンス』が徹底できていない。私たちが最近課題に感じているのはそこなんです」(滝口氏)
滝口氏の話では、日本と欧州、米国と、それぞれがそれぞれのIT組織を持ち、それぞれの予算で動いている。当然、何もかも日本からトップダウンでやっていては機動性を確保できないから、この仕組み自体を滝口氏が非難しているわけではない。問題は、セキュリティという経営に直結する課題が存在するかもしれない分野でハンドリングできない点にある。
「日本にヘッドクォーターとしての発言権がまるでないんですよ。日本では意外にWannaCryへの対策ができていたりする。でも、海外ではできていない。厄介なのは、日本の普段の動きが遅かったり、セキュリティ体制が甘かったりすることで、普段はそれなりにしっかりしたセキュリティ体制を構築している欧米が『日本が何か言ってる』といった感じで報告が適当だったり、日本チームは英語が堪能ではなかったりすることで、なんとなくそれで良いよ、となってしまってるケースがある」(滝口氏)
こうした状況を見かねて、滝口氏らが海外出張の際に現地の経営層に対してエスカレーションを上げたり、日本においても同様の説明を上げるケースが少なくないそうだ。
「もちろん組織ゴトですから、社内バランスなど簡単に言えない風潮もあるでしょう。そういう時は、セキュリティベンダーをうまく使って、『外部からの指摘』という形でセキュリティ対策を徹底した方がいい。『このリージョンのトラフィックはおかしい』『ネットワークのクローズにこれだけ時間がかかっているのは問題があるのでは』といった話は、やはり社内より外部からの指摘の方がうまくいくだろうし、自分たちで完結するのは難しい部分があると思いますよ」(滝口氏)
