名和利男氏が明かす「やっている感を出すだけ」のセキュリティ対策から脱却する方法
- ありがとうございます!
- いいね!した記事一覧をみる
会員になると、いいね!でマイページに保存できます。
リモートワークなどの働き方はもはや当たり前となった。それに伴い、サイバー脅威も巧妙かつ悪質化し、新たな被害も目立ち始めている。「日本では政府がセキュリティ対策に関する多くのガイドラインや法規制を施行してきたが、どれも企業目線になっていない」と指摘するのは、サイバーディフェンス研究所 専務理事/上級分析官 名和 利男氏だ。同氏は「企業の利益を守る」という観点から、本当に必要なセキュリティ対策について解説した。
なぜ企業は、サイバー被害をいたずらに拡大させてしまうのか?
専務理事/上級分析官
名和 利男氏
海上自衛隊において、護衛艦のCIC(戦闘情報中枢)の業務に従事した後、航空自衛隊において防空指揮システム等のセキュリティ担当(プログラム幹部)業務等に従事。その後JPCERTコーディネーションセンター早期警戒グループのリーダを経て、サイバーディフェンス研究所に参加。CSIRT構築及び、サイバー演習(机上演習、機能演習等)の国内第一人者として、支援サービスを提供
サイバーセキュリティは単なるITの問題でなく、全社的なリスク管理の問題だ。その法的意味を理解するために、CISOは法務部長が兼任しているケースが目立つ。とはいえ、法務部長は非役員であり、期待される任務を両方とも遂行することは難しい。
名和氏は「特に株主総会の準備や大型案件の契約処理などを抱える多忙な時期だと、仕事を兼務しているとリーダシップが発揮できません。結果的に一部の企業では、ステークホルダーからの同調圧力でCISOを採用しているにすぎず、このような実態がサイバー被害をいたずらに拡大させる要因の1つになっているのです」と指摘する。
日本では2013年に『サイバーセキュリティ戦略』が発表されたが、英国国際戦略研究所による「サイバー能力と国力」に関するネット調査では「狭い技術的な種類の古典的な情報セキュリティの修辞的(美辞麗句的)な原則に焦点を当てた」と表現されており、決して褒められた評価ではない。
実際に『政府機関等のサイバーセキュリティ対策のための統一基準群』では「適切」「必要に応じて」という言葉が多用されている。しかし、これらを誰が判断するのかは明確でなく、外部や現場に丸投げしている。何かあれば矢面に立たされるのは現場側なので、「やっている感を醸し出す旧態依然の情報セキュリティ対策が横行している」(名和氏)という。
しかし、このような状態が続けば、高まるサイバー脅威から企業利益を守ることはできない。そろそろ企業も真の意味でサイバーセキュリティに本腰を入れる必要があるのだ。
この記事の続き >>
・日本「不審なメールを開くな!」主要他国「不審なメールを見つけよう!」なぜこんなに違う?
・サイバー攻撃で失う企業利益と原因を見極め、強固なセキュリティコントロールを
・企業利益を守るために本当に必要な「5つのポイント」
今すぐビジネス+IT会員にご登録ください。
すべて無料!今日から使える、仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!
関連タグ
タグをフォローすると最新情報が表示されます
