訓練と実践を継続するオンラインセミナー「セキュリティ対策 5つの鉄則」

さまざまなセキュリティ対策を施しても、有効性は今ひとつあがらない――なぜ企業はこうした状況に陥ってしまうのか、その原因をインターネット セキュリティ システムズの高橋正和氏にを聞いた。さらなる詳細は6月6日開催のオンラインセミナー「セキュリティ対策 5つの鉄則」にて。

» 2006年06月01日 09時01分 公開
[ITmedia]

 これまでの記事では、セキュリティポリシーを単なる「お守り」に終わらせないためには具体的なプランに落とし込むことが必要であり、それには一人一人が責任の連鎖を意識することが重要だと述べた。

 では、現場レベルまで含め、一人一人がセキュリティに関するリアリティを持つには何が必要なのか? ISSのCTO兼エグゼクティブ・セキュリティ・アナリスト、高橋正和氏によると「訓練と実践を繰り返すこと」が1つの方法だという。

 例えばゴルフを例に取ると、本屋に行くとさまざまな入門書が並んでいる。しかし、これを読破したとしても、練習を繰り返さなければ決して上達することはない。

 同じようにセキュリティも「ポリシーを決め、それを読んだだけでは実行することはできない。訓練が欠かせない」(同氏)という。

2種類の訓練

 ここで注意が必要なのは、訓練にも2つの種類があるということだ。

 1つは「ある手順をもれなく、確実に行えるようにするために繰り返す『訓練』。ツールの使い方や事故が起こったときの調査方法などの練度を上げることで、いざというときに迅速に対応できるようにするもの」(高橋氏)

 頭では分かっていても、いざ事故が発生するとあわててしまいがちなもの。システムの電源は落としてもいいのか、それともネットワーク切断で対処すべきなのか、はたまたコピーは取っておくべきなのか……そうした細々とした手順を「ただ知識として知るのではなく、経験として身につけることにより、いざというときの機動的な対応が可能になる」(同氏)

 もう1つは、想定外の事態を洗い出し、それにどう対処するかを検討する「演習」である。「あらかじめ社内連絡網を作っておいても、いざ事故が発生して連絡を取ろうとして、連絡が付かない人が出てくることもある。では、そのときいったいどうするべきか? そういった事柄も考えておくべきではないか」(同氏)

 セキュリティ事故への対処において、すべてが「想定内」にとどまることはまずありえない。どんなシナリオがあり、どんな問題点が生じうるかを、技術面とオペレーション面の両面から洗い出していく活動も必要だという。

あなたの会社のセキュリティポリシーは「あるべき論」にとどまっていないか?
セキュリティ対策 5つの鉄則
開催日時:6/6(火)12:00〜13:00

個人情報保護法の対応により、大半の会社にセキュリティポリシーに相当するものが、導入されたはずである。しかし、個人情報漏洩をはじめとした、情報セキュリティ上の事故が後を絶たない。この原因のひとつとして、セキュリティポリシーが実際の運用レベルまで落とし込まれておらず、あるべき論にとどまっている点を挙げることができる。このセミナーでは、セキュリティ施策を機能させるための、以下のような5つのポイントを紹介する。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ