リソースが足りない企業がやるべき、“最低限で効果的なセキュリティ対策”を考えよう:「SPHERE 24」現地レポート(2)
予算やリソースが限られた中堅・中小企業が取るべき“最低限の効果的なセキュリティ対策”とは何か。WithSecureのCISOやユーザー企業のセキュリティ担当者が語った。
この記事は会員限定です。会員登録すると全てご覧いただけます。
ランサムウェアをはじめとしたサイバー攻撃の被害者となっているのは大企業だけではない。大企業のサプライチェーンに連なる中堅・中小企業は、セキュリティ対策に十分な予算やリソースを割けないケースが多く、攻撃者にとって今や格好のターゲットとなっている。
脅威が激化する一方で、対策へのリソースが限られた中堅・中小企業が、“最低限で効果的なセキュリティ対策”を講じるにはどうすればいいのか。
WithSecureがフィンランドの首都ヘルシンキで2024年5月28〜29日(現地時間)の期間で開催している大規模カンファレンス「SPHERE 24」に、同社のCISO(最高情報セキュリティ責任者)であるクリスティン・ベヘラスコ氏、下水道改修用のCIPPライナーシステムの開発を手掛けるIMPREGグループのサイモン・フース氏(IT担当副社長)、セキュリティ企業のodixでCOO(最高執行責任者)を務めるステファニー・メイベリー氏、失業基金などを提供するYTKのCIO(最高情報責任者)であるサトゥ・コスキネン氏らが登壇し、このテーマについて議論した。
中堅・中小企業が軽視しているセキュリティ対策とは?
ベヘラスコ氏: 今回は最低限で効果的なセキュリティ対策を講じるにはというテーマで議論していきましょう。メイベリーさんの組織では多くの中堅・中小企業にセキュリティスタッフを派遣しています。企業の実態はいかがでしょうか。
メイベリー氏: 最低限で効果的なセキュリティ対策というコンセプトを実現するためには、これまでの予算を再調整し、場合によっては別の領域に回すことになります。しかし、限られた予算やリソースでセキュリティ対策をやり繰りしている企業にとってこれらの一部を返上するという新たな決断を下すことは非常に困難です。
フース氏: 分かりやすくするために“最低限で効果的なセキュリティ対策”を細分化し、“最低限のセキュリティ対策”と“効果的なセキュリティ対策”の2つに分けて考えてみましょう。まずは“最低限のセキュリティ対策”ですが、これはもちろん“セキュリティ対策に消極的”という意味ではありません。むしろ組織がセキュリティ対策においてプロアクティブになるにはどうすればいいかを考える必要があるということです。
次に“効果的なセキュリティ対策”ですが、これを実現するには自社のセキュリティレベルを把握し、対策の優先順位を付けることが重要です。個人的には従業員に向けたセキュリティトレーニングは有効にもかかわらず、多くの企業で過小評価され、対策の中では優先順位を下げられがちだと思います。従業員は脆弱(ぜいじゃく)性であると同時にセキュリティを強化する上で最も重要なピースだと理解しましょう。
SPHERE 24におけるディスカッションの様子。左からクリスティン・ベヘラスコ氏、ステファニー・メイベリー氏、サイモン・フース氏サトゥ・コスキネン氏(出典:筆者撮影)メイベリー氏: 従業員だけでなく、セキュリティへの理解を深めてもらうという意味で経営陣にも十分なトレーニングを積ませなければなりません。経営陣から大きなサポートを得られるかどうかは、リソース不足の中堅・中小企業がセキュリティ対策を講じる上で非常に重要な要因となります。
トレーニングについては、単に「どうすれば安全を確保できるか」ではなく、「組織全体の安全確保をどうするか」「自社の安全を確保するためには具体的に何をすればいいのか」を正確に把握して実施すべきです。また、一度訓練して終わりではなく定期的に実施することがマインドセットと文化の醸成につながります。セキュリティにゴールはありません。
フース氏: この他、技術導入の進め方について話すと、導入している技術資産をあらためて評価し、「今足りない部分は何か」「逆に不要なものはないか」を明確化することはもちろん大事なのですが、最新のトレンドを学び、常に新しいものを取り入れる姿勢も持たなければなりません。予算が厳密に限られているからこそ、現状のセキュリティ対策を棚卸して不要になった製品・サービスを廃棄し、代わりに新しい技術を取り入れるという柔軟性が求められるのです。
ベヘラスコ氏: 導入技術の再評価も重要ですが、従業員のスキルセットなどについてもあらためて評価するのは有効だと思います。コスキネンさんは今回のテーマについてどういった意見を持っていますか。
コスキネン氏: 当社の顧客やパートナー企業などの取り組みを調査した結果、セキュリティ対策はリーダーのサポートや関連会社を含めたセキュリティ文化の醸成が非常に重要で、かつ、これについて継続的に議論される環境づくりも必要だと分かりました。
経営層や、契約業者、サードパーティーといった取引相手と話し合い、自社がどのようなセキュリティ体制を構築したいのかを理解してもらうことが大事です。われわれは同じ船に乗り、共に働くことでセキュリティをより良いものにできるのです。
ベヘラスコ氏: これを実践する際には、WithSecureが提唱しているセキュリティアプローチ「アウトカムベースセキュリティ」が役に立つでしょう。
アウトカムベースセキュリティは「セキュリティの成果とは、ビジネス成果に対するリスクを低減することと定め、ビジネスの成果をベースにセキュリティを語る」という概念です。セキュリティとして機能するものを手に入れるためには、ビジネス層が理解できる言葉を使い、私たちがやっていることを理解してもらう必要があります。
メイベリー氏: 理想は、これらの取り組みを関係者に説明し、全員が説明責任を持ってくれることでしょう。
関連記事
ランサムウェアに起きた“破壊的イノベーション”とは? 進化の歴史をひもとく
ランサムウェアは一体どのように衰退と進化を繰り返してきたのか。また、その最中に起きた“破壊的イノベーション”とは何か。40年間セキュリティリサーチャーとして活動してきたハッカーがその歴史をひもとく。
ランサムウェアグループ「Black Basta」は重要インフラ組織をもてあそんでいる
ランサムウェアグループBlack Bastaは、全世界で500以上のターゲットに影響を与え、重要インフラ業界の大部分に影響を及ぼしている。多くの攻撃は、ConnectWise ScreenConnectの脆弱性を悪用しているという。
中小企業がゼロから始めるセキュリティ対策 ココだけは死守したい3つのリスク
サプライチェーン攻撃が激化している今、予算やリソースに余裕がない中小企業はこれにどう立ち向かうべきか。中小企業のセキュリティインシデント被害事例と、実態に即した対策を川口設計の川口 洋氏が語った。
「セキュリティとはテトリスだ」 40年間インターネットを見てきた伝説的ハッカーは何を語るか
現役の凄腕セキュリティリサーチャーであるWithSecureのミッコ・ヒッポネン氏が初の邦訳著書の出版を記念して来日しました。40年間インターネットの最前線で活動してきた同氏は本書で何を語ったのでしょうか。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
人気記事ランキング
- Windows 11が「MCP」対応って何がすごい? 本格的なAIエージェント時代が見える
- NISTが脆弱性管理の新指標「LEV」を提案 EPSSやKEVより信頼できる?
- なぜIT部門は市民開発を嫌うのか? 「“野良化”回避」より重視すべきこと
- 中国プリンタメーカーが配布した公式ソフトにマルウェア 約半年間公開か
- 主流のマルウェアが使う検知回避テクニックとは? 対抗するための5つの防御策
- 何としても情報を届けたい 三井住友銀行の“ギリギリを攻めた注意喚起”
- Google ChromeがWeb認証体験を革新 7つの新たな取り組みを解説
- なぜ今「情シス応援」なのか? Japan IT Weekの新たな動きを追う
- 「もう手動での対応は無理……」 Linux関連の脆弱性は前年比で967%増加
- 「VPNではサイバー脅威に対抗できない」 では今後、採用すべき対策は?
ITmediaはアイティメディア株式会社の登録商標です。