• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
ITpro Special
週間WEEKLY ITpro Special ITpro

情報セキュリティマネジメントサミット

IoTやAIなど、最新テクノロジーによって爆発的な成長を遂げる企業戦略。一方、こうしたテクノロジーを悪用したサイバー攻撃や情報流出事件も続いている。情報セキュリティこそがIT部門のみならず企業トップにとって最重要の課題になる中、最適解がどこにあるのか。最先端のテクノロジーや事例を集めた「情報セキュリティマネジメントSummit」が、2017年3月21日、東京で開催された。(主催:日経コンピュータ)

【基調講演】 みずほフィナンシャルグループ
経営課題として取り組むサイバーセキュリティ
できることから対策を始め、共助・公助も活用を
みずほフィナンシャルグループ
データマネジメント部 部長
高橋達浩 氏

 サイバー攻撃は自然災害、テロなどと並ぶトップリスクの1つである。みずほ銀行を展開するみずほフィナンシャルグループでは、サイバーセキュリティを経営レベルの課題としてとらえ、対策を進めてきた。

 具体的にはNIST CSF やFFIEC CAT などの標準フレームワークを活用し、自社に必要なセキュリティ機能を定義したうえで、改善策をアクションプランとして計画化し、PDCA プロセスに組み入れて実施と評価、改善を繰り返す。

 2012 年にCSIRT を設立して以来、こうした取り組みを継続して進めてきたことにより、サイバー攻撃の脅威に対して先手を打つ対応が可能になった。「最初は小さくてもよいので、できるところから始めてみることが大事」と同社の高橋達浩氏は語る。

 サイバー攻撃はバリューチェーンの最も弱いところを狙ってくるため、自社を守るだけでは十分ではない。「自助を前提に、他社や公的機関との連携、すなわち共助、公助も積極的に活用する。日本社会を守る仲間として、互いに助け合いながら脅威と戦おう」と高橋氏は呼びかけた。

【特別講演】 ディー・エヌ・エー(DeNA)
経営と融合した取り組みがセキュリティ対策の要諦
運用継続のためのしっかりとした体制維持を
ディー・エヌ・エー システム本部
セキュリティ部 部長
茂岩祐樹 氏

 オークション、SNS、ゲームなど多彩なインターネットサービスの提供で知られるDeNAは、サービスのスマートフォン対応、ビジネスの海外展開などを背景に拡大するセキュリティリスクを念頭に、「DeNA CERT」を2011年12月に設置。同組織の主導の下、社内でのシステム面および人的側面からのセキュリティ施策の強化に取り組んできた。

 「セキュリティ対策の実践には経営層の理解が不可欠ですが、仮に理解が得られたとしても、必要なリソースが自然に降ってくるわけではありません。CSIRT などの活動主体が勝ち取っていくものだという考えに立つことが必要です」とDeNAの茂岩祐樹氏は語る。

 また、セキュリティ施策の展開で重要なのは、組織を立ち上げることではなく、その後の運用をしっかりと回していくこと。「運用には、企業として大きな体力を要することを理解し、常に情報収集やメッセージ発信を継続しながら、環境変化への対応を持続していくことが重要でしょう」。運用こそ情報セキュリティの生命線と茂岩氏は強調する。

【特別講演】 独立行政法人情報処理推進機構(IPA)
「進まぬ中小企業のセキュリティ対策も待ったなし」
IPAガイドラインの活用を示唆
独立行政法人情報処理推進 機構(IPA) 技術本部
セキュリティセンター 普及グループリーダー
横山尚人 氏

 中小企業の情報セキュリティ対策実態調査により、課題と対策が浮かび上がった。IPAの横山氏が課題の一つとして挙げたのは、内部の問題だ。「外部からのサイバー攻撃は警戒していても、社員の不正などによる内部からの情報漏洩を過少評価する傾向が一部に見られる」(横山氏)

 調査によれば、情報セキュリティルール規定未整備の企業が、多数ある。業務効率を重んじセキュリティ対策が後手に回る現状を、横山氏は明らかにした。

 ただ、今後の改善は急がれる。マイナンバーや、2017年5月の個人情報保護法改正への対応は必須で、これを契機に、中小企業における情報セキュリティ対策が重要視されることを期待できる。

 そのためには、策定された「中小企業の情報セキュリティ対策ガイドライン第2版」を利用し、まず情報セキュリティ自社診断を行い、状況を把握するとともに、経営者が問われる責任などへの理解を深める重要性を、横山氏は呼び掛けた。

【特別講演】 アサヒグループホールディングス
CSIRTがグループを横断したセキュリティ対策を牽引
従業員1人ひとりの意識醸成への取り組みを徹底
アサヒグループホールディングス IT部門
ゼネラルマネージャー
知久龍人 氏

 アサヒビールを中核とするアサヒグループは、グローバルに事業領域を拡大させる中で、セキュリティリスクが急増するという状況に直面。「技術的な対応に加えて、運用面での対策強化こそが急務であるとの認識に至りました」とアサヒグループホールディングスの知久龍人氏は語る。

 そこで、セキュリティ対策をグループ経営上の重要課題と位置づけ、ホールディングス社長自らの号令のもと、経営と社員が一体となったグループ横断型のセキュリティ運用体制を整えるべく「ASAHI-CSIRT」を2016 年8月に設置した。

 CSIRTでは、経済産業省の「サイバーセキュリティ経営ガイドライン」に沿った独自の活動定義書や対応マニュアルなどを策定。それに則って、インシデントに対する事前、事後の対応をはじめ、経営への活動報告、情報収集などを継続的に実施している。

 「結局、重要なのは従業員1人ひとりのセキュリティ意識。その醸成に向けた教育、訓練などの取り組みを、繰り返し続けていくことが肝要です」と知久氏は強調する。

【特別講演】 明治安田生命保険
「CSIRT構築はスピードを重視した仮想組織で」
明治安田生命保険の構築・運用実績
明治安田生命保険
リスク管理統括部(システムリスク管理担当)主席スタッフ
髙橋尋史 氏

 明治安田生命保険では2014 年、CSIRT(Computer S ecurity IncidentResponse Team)を構築した。仮想組織であり、リスク管理統括部およびシステム部門内の兼務メンバー16 名から成る。

 実組織でない理由がある。「設置後の実稼働量が明確に見えていなかったものの、早期立ち上げを目指した」ためと、高橋氏は強調した。既存組織の個々の機能を集約・再定義し、システム基盤有識者を顧問として組み入れている。

 構築段階では、JPCERT/CC「CSIRTマテリアル」が教科書的な役割を果たした。実組織でないことから、規定を定義する上で「システムリスク管理細則」に明文化した工夫も語られた。

 組織構築後は、経営会議や取締役会などでの定期インシデント報告を続けている。仮想組織の運用課題としては、繁忙期などに平時のCSIRT業務が多少滞りがちになることがある点、という。それでもサイバーセキュリティ対応態勢をCSIRTとして可視化したメリットは大きいという。