組織の内外で高まるセキュリティのリスクと脅威を乗り切る方法とは？：ITmedia エンタープライズ ソリューションセミナー レポート（3/5 ページ）

[編集部，ITmedia]

投資実態から読み解く今後の情報セキュリティ対策

PwC サイバーセキュリティセンター シニアマネージャーの林和洋氏

　特別講演に登壇したプライスウォーターハウスクーパース株式会社（PwC）サイバーセキュリティセンターの林和洋氏は、同社が実施した「グローバル情報セキュリティ調査 2015」（調査期間：2014年3月27日〜5月25日）をもとに、日本企業に求められる情報セキュリティ対策の方向性を解説した。

　調査では日本企業のセキュリティ投資が、グローバルの約半分という実態が判明した。林氏は調査結果から（1）脅威と投資の関係、（2）責任者は誰か、（3）考慮すべきスコープの拡大、（4）防御偏重からの脱却――の4つの論点があると指摘する。

　（1）の脅威と投資の関係では、セキュリティのリーダーや戦略、効果測定の実施有無で企業のセキュリティ投資傾向が変わることが分かった。具体的には、「セキュリティのリーダーがいる」割合は、投資を増やす企業で64％、増やさない企業では33％だった。「セキュリティ戦略が存在する」では投資を増やす企業が71％、増やさない企業では36％に、「対策の効果測定をしている」では投資を増やす企業で43％、増やさない企業で27％だった。

　林氏によると、特にセキュリティ対策の効果測定は日本企業が苦手にしている点だという。情報セキュリティを高めるために、現状把握は避けて通れないだろう。セキュリティ戦略や計画を立案する前に、情報資産や脅威の棚卸とリスク評価を行うことが重要だとアドバイスする。

　次に（2）の論点における「情報セキュリティの責任者は誰か」の答えは、CEOや経営層となる。サイバーセキュリティは企業のグローバルリスクの上位に挙げられ、近年の大規模な情報漏えい事故をみても、被害顧客へのケアや企業に対する信用の失墜など膨大なコストが発生している。全社規模での対応が求められるだけに、その舵取りができるのは組織のトップというわけだ。

　しかし、役員クラスが情報セキュリティのリーダーをしているという割合は、グローバルでは64％に上るが、日本では41％にとどまる。求められる人材像について林氏は、「リスク感度が高く、意思決定や方針策定がしっかりできる人材であれば、技術に精通していなくても可能」と解説する。

　（3）で注目すべきは内部関係者による不正行為だ。2014年は教育サービス企業での事件が大きな話題になったが、調査からは日本企業が退職者や委託先関係者などに起因するインシデントを十分に認識できていない実態が分かった。

　林氏によれば、日本企業は「在職中の従業員」を内部関係者と考え、退職者や委託先関係者などは「外部」と捉える傾向にある。だが、社会では退職者や委託先関係者も「内部関係者」とみる傾向が強い。日本企業が講じている対策では教育に重点が置かれているが、今後は「内部関係者」の認識を再定義し、コンプライアンスの観点からも「内部関係者」を前提にした対策が求められるとしている。

　最後に、（4）の論点では今後の情報セキュリティ対策において、インシデント発生を前提にしたアプローチが求められていく。例えば標的型攻撃対策ツールの導入状況をみると、日本企業がグローバルと遜色のないレベルにあるのは、ネットワークファイアウォールやマルウェア対策であり、インシデント対応体制や情報連携では大きな遅れをとっていることが判明した。

　世界各所でインシデントが起きている現状を考慮すれば、防御偏重のセキュリティ対策は実態に即さないといえ、インシデントに即応して被害を最小限に抑制できるかが重要になる。そのためには、まずセキュリティ情報を駆使してインシデントをいち早く見つける必要がある。そして、事態の速やかな収束と再発防止を講じていく「CSIRT」と呼ばれる組織横断型の体制を整備することが求められるという。