連載
» 2021年01月14日 07時00分 公開

セキュリティ担当者の独り言:セキュリティ担当者はつらいよ 組織間で発生するギャップにどう立ち向かうか

サイバー攻撃を予防しているにもかかわらずシステム担当部門やCSIRT担当者にとって頭を抱えるケースがある。組織におけるセキュリティシステム担当者の立ち回りを考えよう。

[伊藤聡司,ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 本連載は、組織のセキュリティ体制を整えてきた筆者の経験から「セキュリティにおいて大切なもの」「セキュリティで起きがちな課題」「安全な組織とは」などをさまざまな切り口で考察するものだ。

 しばらく間が空いてしまったため、前回のおさらいから始めよう。前回の最後でサイバー攻撃に対応する関係者は、組織階層により目的や考え方、求められるミッションが異なるため、折り合いをつけることが困難な場合があるという話をした。

 こうした立場による認識相違は組織階層に限った話ではない。第2回は、セキュリティシステムを利用するユーザー側とサービスを提供するベンダーの開発部門、さらにベンダーの運用部門の立場から、サイバー攻撃を防いだ後に発生する可能性がある「認識相違」について説明する。分かりやすくするため事例は「あえて極端な例」を挙げていることに留意してほしい。

想定通りにインシデントを未然に防いでいるのに…… なぜ「立場による認識相違」が発生するのか

 多層防御やゼロトラストモデルなど被害を予防するセキュリティ対策によって、想定通りにサイバー攻撃を防御をしても、システム担当部門やCSIRT担当者にとって頭を抱えるケースがある。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ