“もぐらたたき”ではセキュリティに先はない 組織に合ったリスクマネジメントを構築するには：ITmedia Security Week 2024冬 イベントレポート（1/2 ページ）

ランサムウェアをはじめとしたサイバー攻撃に備えるには情報セキュリティマネジメントの整備が必要不可欠だ。ではこれを実践するにはどうすればいいか。専門家が導入のステップを語った。

[吉田育代，ITmedia]

　ランサムウェア攻撃が激しさを増す中、組織で何より重要になるのは情報セキュリティマネジメントだ。ではこれを具体的に実践する上でのステップはどのようなものか。

　アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」に、情報セキュリティ大学院大学教授の藤本正代氏（GLOCOM上席客員研究員、工学博士）が登壇し、情報セキュリティマネジメントのポイントと基本的な進め方を語った。

本稿は、アイティメディア主催イベント「ITmedia Security Week 2024 冬」（2024年2〜3月実施）における藤本氏の講演を編集部で再構成した。

人材不足の中、増え続ける脆弱性にどう対処するか？

　情報セキュリティ大学院大学は情報セキュリティに特化した独立大学院で、技術からマネジメントまで、サイバーセキュリティをトータルに学ぶ。「サイバーセキュリティとガバナンス」や「セキュリティ／リスクマネジメント」といったカリキュラムの他、セキュリティ技術としての対量子計算機暗号や、ノイズが加わることによって起こるAI（人工知能）の誤認識などをどのように防ぐかといった「数理科学とAI」のようなカリキュラムもある。

　ランサムウェアは重大なセキュリティリスクであり、その侵入経路として多用されているのがシステムの脆弱（ぜいじゃく）性だ。2021年に発生した徳島県のつるぎ町立半田病院のランサムウェア被害では、脆弱性が放置されたVPN機器を経由して攻撃が仕掛けられた。このような被害事例が相次いだことで近年は脆弱性対策に注目が集まっている。

　しかし実態はなかなか困難な道のりだ。米国の非営利団体MITREが管理をしている共通脆弱性識別子（CVE）の数は2021年には2万161件だったものが、2022年には2万5096件、2023年は2万8961件と年々増加している。

　担当者はこれら全ての脆弱性に対処するわけではないが、重要度が高いものは無視できないため、対策を講じるだけでも多くの負荷がかかる。セキュリティ人材の不足が問題視される中、コストやリソースの面でも脆弱性対策は簡単ではない。

　藤本氏はこの現状に対し、「全てに対処するのは困難であり『何から取り掛かるか』の優先順位を付ける必要があります。ただ優先順位は企業にとって異なるのが実情です。『当社にとって重要な情報資産は何か』『守るべき会社のアイデンティティーや社会的なミッションは何か』を明確化した上でそれに合った対策を講じましょう」と語る。

セキュリティ戦略は組織の経営との関係で考えることが重要（出典：藤本氏の講演資料）