ニュース
» 2019年01月15日 08時00分 公開

ITmedia エンタープライズ セキュリティセミナーレポート:インシデントの芽をつぶせ 脆弱性診断のプロが語る、企業セキュリティの“よくある盲点”とは (1/2)

さまざまな企業の脆弱性診断を重ね、現在はさくらインターネットのCSIRTも運営するゲヒルン。創業者の石森氏が、インシデントの被害抑止に役立つ企業セキュリティの“盲点”をどう見つけてきたかを語った。

[高橋睦美,ITmedia]
photo ゲヒルン 代表取締役 さくらインターネット CISO/CSIRTの石森大貴氏

 「日本をもっと安全に」をミッションに掲げるサイバーセキュリティ企業、ゲヒルン。さまざまな企業に潜む脆弱(ぜいじゃく)性を見つけてきた同社では、どんな知見が重ねられてきたのか。2010年に同社を立ち上げた石森大貴氏が、ITmedia エンタープライズ セキュリティセミナーで講演した。

 同社では、「防災情報の配信」「インフラ」そして「脆弱性診断サービスを中心とする情報セキュリティ」という3本柱でビジネスを展開してきた。2016年4月にさくらインターネットの傘下に入ってからも、独立した立場でグループCSIRTの運営や監査、脆弱性検査を行っている。

 「CSIRTとは、企業の中の消防隊という位置付け。いざ火事が起きたときに駆け付けるだけでなく、日頃から防火・防災のための活動や訓練、見回りを行うことがその大きな役割だ」(石森氏)

防災とサイバーセキュリティの共通点とは?

 石森氏によれば、防災と情報セキュリティインシデントには「事故発生時だけでなく、平時からの取り組みが大切」という共通点がある。インシデントレスポンスに必要な4つの要素として、同氏は「組織」「スタッフの能力」「鮮度が高く、正確で過不足のない情報の取り扱い」「訓練・マニュアル整備などを通じた準備」を掲げる他、「組織内の風通しの良さも重要だ」と語る。

photo

 情報セキュリティには、情報資産の管理から規定の整備、プライバシー保護、サイバー攻撃・犯罪対策などさまざまな要素が含まれ、ポリシー設計のような文系的な側面と、技術開発を進める理系的な側面、双方が必要だと石森氏は述べた。

 「『セキュリティとは、リスクをコントロールすること』と位置付けて、私たちは仕事に取り組んでいる」(石森氏)

 石森氏によれば、防災と情報セキュリティにはもう一つ共通点がある。地震や台風といった災害が起こること自体は止められないが、社会への影響や被害を減らすことは可能だという点だ。

 例えば、「防潮堤を設ける」といったハード面での対策に、「水があふれそうになる前に住民に情報を提供する」というソフト面での対策を組み合わせることで、仮に何らかの災害が起こっても被害を抑えられる。

 「サイバー攻撃が来ること自体は止められないが、その事象が起きても大丈夫なようにしておくのがCSIRTの役割。インシデントに対する許容力を高めるには、事前の備えが大切だ」と石森氏は語った。

 また、同氏は、さまざまな企業で脆弱性診断を重ねることで見えてきたという“盲点”についても言及した。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -