インシデントの芽をつぶせ 脆弱性診断のプロが語る、企業セキュリティの“よくある盲点”とは：ITmedia エンタープライズ セキュリティセミナーレポート（1/2 ページ）

さまざまな企業の脆弱性診断を重ね、現在はさくらインターネットのCSIRTも運営するゲヒルン。創業者の石森氏が、インシデントの被害抑止に役立つ企業セキュリティの“盲点”をどう見つけてきたかを語った。

[高橋睦美，ITmedia]

ゲヒルン 代表取締役 さくらインターネット CISO／CSIRTの石森大貴氏

　「日本をもっと安全に」をミッションに掲げるサイバーセキュリティ企業、ゲヒルン。さまざまな企業に潜む脆弱（ぜいじゃく）性を見つけてきた同社では、どんな知見が重ねられてきたのか。2010年に同社を立ち上げた石森大貴氏が、ITmedia エンタープライズ セキュリティセミナーで講演した。

　同社では、「防災情報の配信」「インフラ」そして「脆弱性診断サービスを中心とする情報セキュリティ」という3本柱でビジネスを展開してきた。2016年4月にさくらインターネットの傘下に入ってからも、独立した立場でグループCSIRTの運営や監査、脆弱性検査を行っている。

　「CSIRTとは、企業の中の消防隊という位置付け。いざ火事が起きたときに駆け付けるだけでなく、日頃から防火・防災のための活動や訓練、見回りを行うことがその大きな役割だ」（石森氏）

防災とサイバーセキュリティの共通点とは？

　石森氏によれば、防災と情報セキュリティインシデントには「事故発生時だけでなく、平時からの取り組みが大切」という共通点がある。インシデントレスポンスに必要な4つの要素として、同氏は「組織」「スタッフの能力」「鮮度が高く、正確で過不足のない情報の取り扱い」「訓練・マニュアル整備などを通じた準備」を掲げる他、「組織内の風通しの良さも重要だ」と語る。

　情報セキュリティには、情報資産の管理から規定の整備、プライバシー保護、サイバー攻撃・犯罪対策などさまざまな要素が含まれ、ポリシー設計のような文系的な側面と、技術開発を進める理系的な側面、双方が必要だと石森氏は述べた。

　「『セキュリティとは、リスクをコントロールすること』と位置付けて、私たちは仕事に取り組んでいる」（石森氏）

　石森氏によれば、防災と情報セキュリティにはもう一つ共通点がある。地震や台風といった災害が起こること自体は止められないが、社会への影響や被害を減らすことは可能だという点だ。

　例えば、「防潮堤を設ける」といったハード面での対策に、「水があふれそうになる前に住民に情報を提供する」というソフト面での対策を組み合わせることで、仮に何らかの災害が起こっても被害を抑えられる。

　「サイバー攻撃が来ること自体は止められないが、その事象が起きても大丈夫なようにしておくのがCSIRTの役割。インシデントに対する許容力を高めるには、事前の備えが大切だ」と石森氏は語った。

　また、同氏は、さまざまな企業で脆弱性診断を重ねることで見えてきたという“盲点”についても言及した。