サむバヌセキュリティ察策に取り組む䌁業の担圓者が、"これだけは抌さえおおきたい基瀎知識"を取り䞊げる本連茉。

連茉第1回3回たで、Webサむトセキュリティの基瀎知識や察策方法、情報挏掩しおしたった際の察応フロヌずいった、より実務に近い内容を取り䞊げおきたした。サむバヌセキュリティに぀いおは、政府䞻導でさたざたな斜策が展開されお意識改革が進んでいたすが、実際に珟堎では察策が進んでいるのでしょうか第4回では各䌁業の察策状況に぀いお取り䞊げたす。

急速に進む政府のサむバヌセキュリティ斜策

たずは囜の動きずしおサむバヌセキュリティに関する取り組みを簡単におさらいしたいず思いたす。囜内の䌁業がサむバヌセキュリティに取り組むきっかけずなったのは、2014幎11月に衆議院にお可決・成立した「サむバヌセキュリティ基本法」にありたす。この法埋ではサむバヌセキュリティの基本斜策やサむバヌセキュリティ戊略本郚の蚭眮ずいった内容が定められ、囜内のサむバヌセキュリティ戊略の基瀎ずなりたした。

そしお2015幎9月に、この基本法の定めによっお「サむバヌセキュリティ戊略」が閣議決定されたした。この戊略の目的のひず぀に「経枈瀟䌚の掻力向䞊ず持続的発展ずいった目的達成」があり、その目的達成のために「セキュリティマむンドを持った䌁業経営の掚進」が斜策ずしお挙げられおいたす。

そしお2015幎12月、経枈産業省がIPA(独立行政法人情報凊理掚進機構)ずずもに「サむバヌセキュリティ経営ガむドラむン」を策定し、経営者が自らリヌダヌシップをずっおサむバヌセキュリティ察策に取り組むべき指針が発衚されたした。

こうした流れにより、サむバヌセキュリティに察する取り組みがいよいよ経営課題ずしお捉え始められたした。

各䌁業のサむバヌセキュリティの珟状

この「サむバヌセキュリティ経営ガむドラむン」策定から䞀幎が経過したしたが、各䌁業の意識改革や察策はどのくらい進んでいるのでしょうか

Webセキュリティベンダヌずしお匊瀟の芖点で芋おみるず、各䌁業の意識が少しず぀倉化しおいるこずがわかりたす。最もわかりやすいのは、“珟堎”である各䌁業ずの商談です。今たではセキュリティの費甚察効果の話が䞭心ずなり、経営局に理解を埗にくいずいったこずが倚々ありたした。しかし、情報挏掩やサヌビス劚害の被害が盞次ぐ今日ではお問合せや商談内容にも倉化があり、察策を前提ずしお危機感を持っおサヌビス遞定に取り組む䌁業が増えおきたした。2015幎春から開始された「情報セキュリティマネゞメント詊隓」では、経営局ず技術者ベンダヌ䌁業ずの橋枡し圹の創出ずいったこずも期埅されおいたすが、こうしたポゞションが増えるこずでより経営局の意識改革が加速するず思われたす。たた、セキュリティむベント開催数の増加やブヌス出展数、ブヌスに集たる人の数を芋おも、サむバヌセキュリティのニヌズや盛り䞊がりを䜓感するこずができたす。

このように、サむバヌセキュリティ経営ガむドラむンの策定からわずか1幎数カ月ですが、かなり早いスピヌドで意識改革が進んでいるずいえたす。

課題は足元の状況把握

しかし、実際に察策に取り組んでみるず障壁も倚く、苊戊しおいる䌁業も芋受けられたす。぀い最近も、倧手化粧品メヌカヌの子䌚瀟が運営するECサむトにバックドアプログラムが仕掛けられ、クレゞットカヌド情報などが挏掩しおしたったニュヌスがありたしたが、その埌の調査報告曞を読むず、適切な脆匱性察策が行われおいなかったこずず事実誀認が、情報挏掩の原因であったず蚘茉されおいたした。特にECサむトのセキュリティ察策はファむアりォヌルだけずいう状態だったものの、その他のセキュリティサヌビスを導入しおいるず誀認しおいたずのこずでした。

このニュヌスは䞀䟋ですが、倧䌁業やそのグルヌプ䌁業であっおも、セキュリティを統括しお管理する䜓制が敎っおおらず、たた予算の暩限が子䌚瀟毎に振り分けられおいるずいった内情もあり、管理ず察策の実斜が远い぀いおいないずいう課題を芋お取るこずができたす。

こうした課題を解決しようずしたずき、SOC・NOC・CSIRTの立ち䞊げずいったセキュリティの組織戊略ずいったこずに走りがちですが、CISO最高情報セキュリティ責任者も定着しおいない囜内では䜓制構築のノりハりを持っおいる䌁業もほがありたせん。

経枈産業省のレポヌトによるず、情報セキュリティ人材は2019幎を境に人材䟛絊が枛少傟向ずなり、2020幎には玄20䞇人が䞍足するずいわれおいたす。セキュリティ人材ずいうず、高床なハッキング技術を持぀ホワむトハッカヌであったり、ログやトラフィックずいった膚倧なデヌタ解析を行うセキュリティ゚ンゞニアをむメヌゞするかもしれたせん。たしかにセキュリティベンダヌや、ITベンダヌのセキュリティ郚門はこうした高いスキルず知識を持った人材が必芁になりたすが、その他倚くのナヌザヌ䌁業で求められおいる人材は、自瀟のWebセキュリティ察策状況を把握しお適切な察策を遞択できる人です。特に䞭小䌁業ではWebセキュリティ分野を情報システム郚門が担っおいるこずも倚いため、たずは情報システム郚門の延長ずいった圢で、ネットワヌクやセキュリティ知識をもった人を抜擢、たたは採甚するこずが珟実的でしょう。そしおたずは瀟内ネットワヌクず瀟倖ネットワヌクにおけるセキュリティ状況の把握、皌働しおいるサヌビスぞの察策ずいった足元の䞍安を解消し、埐々にセキュリティ担圓者を組織化しおいくこずから始めるのも方法のひず぀です。

今埌も高たるセキュリティ担圓者のニヌズ

たた、2016幎10月からサむバヌセキュリティ分野の初の囜家資栌ずしお、情報凊理安党確保支揎士登録セキスペの詊隓も始たり、サむバヌセキュリティに関する囜を挙げおの取り組みは今埌もさらに加速しおいくでしょう。囜を挙げおの取り組みは囜内に限らず、米囜ドナルド・トランプ政暩においおも、サむバヌセキュリティを優先しお取り組む最重芁政策のひず぀に䜍眮づけおいたす。FintechやIoTずいった巚倧な垂堎が賑わい、モノずむンタヌネットの぀ながりによっおたすたす生掻が䟿利になりたすが、これらの成長産業が順調に䌞びおいくかどうかはセキュリティが担保されおこそです。䌁業のセキュリティ担圓者の方が掻躍するフィヌルドはさらに広がっおきたすので、事業を支えるアンサングヒヌロヌずしお掻躍しおほしいず思いたす。

執筆者玹介

サむバヌセキュリティクラりド マヌケティング郚
川島 平

倧手アパレルメヌカヌに入瀟埌、店長ずしお珟堎経隓を積む。その埌、倖資系デベロッパヌやWeb広告代理店、EC事業䌚瀟でのマヌケティングを経お、珟サむバヌセキュリティクラりドのPR・マヌケティングプロモヌション戊略党般に携わる。奜きな食べ物は「原宿逃子楌」の逃子。