カテゴリ|情報セキュリティ

2017/11/08

人的対策に欠かせない2つの視点

  • このエントリーをはてなブックマークに追加

POINT この記事のポイント

  • サイバーセキュリティ対策で大事な視点は人的対策
  • セキュリティ人材には「チーム力」と「実践力」が必要
  • 今後、セキュリティ人材の教育が企業のリスク対策となる

サイバー攻撃の“Xデー”を疑似体験できる訓練システム

企業によるサイバーセキュリティで見落とされがちなのが、人的対策の視点です。セキュリティ製品の導入などによって不正アクセスの水際対策を講じる一方で、「もしものとき」に備え、迅速かつ的確に対応できる体制・人材を用意しておかないと重大な二次被害を引き起こしかねません。最先端のセキュリティ製品でも日進月歩のマルウェアを100%排除することが難しいのが実状であり、その後の対応が企業の運命を左右します。

中東の軍事大国・イスラエルでは、2007年のシリア空爆の際、イスラエル軍による事前のサイバー攻撃によって相手国の防空システムを無力化しました。常に軍事的緊張を強いられてきた同国は、非常に高度なサイバーセキュリティ技術を保有しているとみられています。

そんな「サイバーセキュリティ大国」の訓練システムとして導入され、国内向けにDNPでも提供しているのが「TAME Range(テイム・レンジ)」です。
これはイスラエル・エアロスペース・インダストリーズ(IAI=Israel Aerospace Industries)社のサイバー防衛訓練パッケージシステムです。実際のサイバー攻撃を再現したシナリオに基づき、チーム単位で制限時間内に「検知→調査→封じ込め→上層部への報告」という一連のフェーズを体験できます。サイバー攻撃の脅威に対抗できるレベルのセキュリティ技術者向け訓練システムとして活用されており、座学では学べない“Xデー”を疑似体験できるプログラムである、と高い評価を集めています。

意思疎通をスムーズにする「チーム力」の醸成

IoTやAIの進展により企業を取り巻く環境が複雑化・高度化している今、サイバーセキュリティ対策の「人材」には「チーム力」と「実践力」という2つの視点が求められています。

近年、セキュリティインシデントの対策チーム「CSIRT(シーサート)」が話題となっており、効果的な対策を実現するために求められる知識・ノウハウは質・量ともに個人ではまかなえないレベルに達しています。IoT、AI、クラウドなど個々の技術に関する知識はもちろんのこと、経営や法律、コンプライアンス、海外動向など企業活動全般に関わる広い知見が必要となるため、活動は“チーム単位”が大前提であり、担当者間の意思疎通をスムーズにする「チーム力」醸成が欠かせません。

ここで大きなポイントになるのが、全体をマネジメントするリーダー役の指名です。各部門から兼任で担当者を出向させたもののリーダー不在で機能不全となっている……というケースは意外に多く、内部の指揮系統を確立し、外部との交渉の窓口となるリーダー役の存在は対策チーム成功の鍵を握る大切な要素となります。

有事に迅速かつ的確な判断を下す「実践力」

さらに、有事の際に迅速かつ的確な判断を下す「実践力」も重要です。未知のサイバー攻撃に直面しても、1つひとつ事実を整理し、最適な選択を下しながら、速やかに経営者・実務部門に進言する――そんな主体的な初動対応を取れるかどうかが鍵です。

実際に対策チームを設置する場合、多くの企業で問題となるのがこの「実践力」の部分です。セキュリティ対策が喫緊の課題であること、チームマネジメントが前提であることから社内スタッフを中心にチーム編成するケースは多いのですが、有事の際の対応は“場数”がものをいう世界。すなわち、社内教育が最も難しい部分でもあり、TAME Rangeのような実践的なノウハウを教育するトレーニングプログラムが企業のセキュリティ対策に寄与すると考えます。

これまでは整備が遅れていると言われていたサイバーセキュリティの人的対策も、今後、それぞれの企業で整備が進むと見られています。日本政府による「サイバーセキュリティ基本法」に基づく勧告にも、先述した「CSIRTの実効ある体制強化」が言及されました。ビジネスリスク管理の重要な施策として、多くの企業で早急に取り組むことが求められています。

「サイバーナレッジアカデミー」のお問い合わせはこちら