事故を免れた異変を見逃さない：オンラインセミナー「セキュリティ対策 5つの鉄則」

さまざまなセキュリティ対策を施しても、有効性は今ひとつあがらない――なぜ企業はこうした状況に陥ってしまうのか、その原因をインターネット セキュリティ システムズの高橋正和氏にを聞いた。さらなる詳細は6月6日開催のオンラインセミナー「セキュリティ対策　5つの鉄則」にて。

[ITmedia]

　皆さんの会社では、ウイルス／ワーム感染の被害やデータの紛失といった事故が起きたとき、なぜそれが起こったのかを分析し、再発を防ぐための情報を共有しているだろうか？　当事者だけのことに終わらせ、「なかったこと」にしていないだろうか？

　「失敗の共有は大事」と、ISSのCTO兼エグゼクティブ・セキュリティ・アナリスト、高橋正和氏は述べる。

　特に注目すべきは、実際の情報流出に至るような重要な事故だけでなく、そこに至る前で気づいた小さな事故――インシデントの情報だ。

　労災事故の世界に「ハインリッヒの法則」というものがある。1つの重大事故の背後には、29件の軽微な事故があり、300件の「ヒヤリ」「ハッと」する異状が存在するというものだ。この法則が示すのは、重大な事故が起こる背景には、その予兆となる小さなインシデントがたくさん生じているということ。情報セキュリティ対策の場合も、「事故を免れた軽微なインシデントにフォーカスを当て、ハンドリングしていくかが重要だ」と高橋氏は言う。

ヒヤリハッとから得られる「正」のループ

　「ヒヤリハッとのような、事故に至らない小さなインシデントの情報をデータベース化し、そこから原則を導いていくことはできないか」（同氏）。日常的な活動の中から出てくる兆候をしっかり把握することで、具体的に何が必要となるのかを理解し、「お守り」的ではない科学的なアプローチにつながるのではないかという。

　また、一人一人が小さなインシデントに目を配る姿勢を身につけることで、自ずとセキュリティに関する当事者意識が醸成されるというメリットもある。会社としてインシデントを報告するよう奨励する仕組みを取ることで、責任の連鎖を意識するとともに、そこから対処のための原則を導き出すという一石二鳥の効果が得られる。

　インシデントの発見、対処は、日々の訓練にもつながる。細かなインシデントへの対処を通じて練度を上げ、ツールセットに磨きをかけることで、いざというときに迅速に対処できる体制が整うというわけだ。

　「小さなことに対処できない組織が、大きな事故に対処できるわけがない」（同氏）

あなたの会社のセキュリティポリシーは「あるべき論」にとどまっていないか？
セキュリティ対策　5つの鉄則
開催日時：6/6（火）12:00〜13:00

個人情報保護法の対応により、大半の会社にセキュリティポリシーに相当するものが、導入されたはずである。しかし、個人情報漏洩をはじめとした、情報セキュリティ上の事故が後を絶たない。この原因のひとつとして、セキュリティポリシーが実際の運用レベルまで落とし込まれておらず、あるべき論にとどまっている点を挙げることができる。このセミナーでは、セキュリティ施策を機能させるための、以下のような5つのポイントを紹介する。