セキュリティ担当者はつらいよ 組織間で発生するギャップにどう立ち向かうか：セキュリティ担当者の独り言

サイバー攻撃を予防しているにもかかわらずシステム担当部門やCSIRT担当者にとって頭を抱えるケースがある。組織におけるセキュリティシステム担当者の立ち回りを考えよう。

[伊藤聡司，ITmedia]

　本連載は、組織のセキュリティ体制を整えてきた筆者の経験から「セキュリティにおいて大切なもの」「セキュリティで起きがちな課題」「安全な組織とは」などをさまざまな切り口で考察するものだ。

　しばらく間が空いてしまったため、前回のおさらいから始めよう。前回の最後でサイバー攻撃に対応する関係者は、組織階層により目的や考え方、求められるミッションが異なるため、折り合いをつけることが困難な場合があるという話をした。

　こうした立場による認識相違は組織階層に限った話ではない。第2回は、セキュリティシステムを利用するユーザー側とサービスを提供するベンダーの開発部門、さらにベンダーの運用部門の立場から、サイバー攻撃を防いだ後に発生する可能性がある「認識相違」について説明する。分かりやすくするため事例は「あえて極端な例」を挙げていることに留意してほしい。

併せて読みたい関連記事

• 組織の階層で異なる「セキュリティ」への考え方　インシデントに対応する組織間の問題
• 現場の声から学ぶ　CSIRTメンバーに本当に必要なスキルとは？
• 記号化するCSIRTの本質「不要となることこそ理想の姿」阿部恭一×辻伸弘が語る

想定通りにインシデントを未然に防いでいるのに……　なぜ「立場による認識相違」が発生するのか

　多層防御やゼロトラストモデルなど被害を予防するセキュリティ対策によって、想定通りにサイバー攻撃を防御をしても、システム担当部門やCSIRT担当者にとって頭を抱えるケースがある。