「人」の力が被害を防ぐ
「目指せ! CSOへの道」 (4)

タイトルイメージ第四回

本稿では、コラムとして毎月、次世代の「CSO」(Chief Security Officer:セキュリティ最高責任者)を目指す方を対象に、セキュリティ対策のポイントについて述べていきたいと思います。

これまで(*)の記事では、主に組織運営的な観点でCSIRTについて考えてきました。CSIRTが企業内でどのような役割を担い、どのような活動を行うべきかという点については、一通りご理解頂けたのではないかと思います。そこで今回からは、もう少し実践的な領域に踏み込んでいきたいと思います。

*
コラム「目指せ! CSOへの道」(1) ~ “CSIRT”って何だろう? ~
コラム「目指せ! CSOへの道」(2) ~ CSIRT構築のステップ ~
コラム「目指せ! CSOへの道」(3) ~ CSIRT運用のポイント ~

「人」こそ最大のウィークポイント

さて、「企業の情報セキュリティを守る」という言葉を聞いた時、次世代のCSOを目指す貴方は、果たしてどのような取り組みをイメージするでしょうか。ファイアウォール/セキュリティアプライアンス製品の導入?、エンドポイントセキュリティの強化?、タブレットやスマートフォンなどのモバイルデバイス管理?、それともID/アクセス権限管理の徹底でしょうか?。

もちろん、こうした取り組みはどれもこれも重要なものばかりで、ないがしろにして良いものはありません。しかし、おそらくカンの良い方は、これらの例の中には、大事な視点が一つ欠けていることに気付かれたことと思います。そう、それは情報やシステムを利用する「人」の問題です。

セキュリティとITは切っても切り離せない深い関係にありますが、ITの力だけでは守り切れないのも事実。標的型メールなどの攻撃が今なお猛威を奮っているのも、人が最大のウィークポイントであるからに他なりません。どれだけ高度な防御体制を構築しようとも、肝心の人のリテラシーやスキルが低いままでは、いつか予期せぬインシデントを引き起こしてしまう可能性があります。

セキュリティ教育でリテラシーを高める

このような事態を避けるためには、セキュリティに対するユーザーの「意識」と「知識」を両面で高めていくことが肝心です。もし、厳重な防御をかいくぐって標的型メールが届いたとしても、ユーザー自身がそれを見破る、あるいは「何だか怪しい」と気付くことができれば、被害を未然に防ぐことができます。

「何だか怪しい」と気付ける人が重要

そこで重要になってくるのが、ユーザーに対するセキュリティ教育です。何か事が起きてからでは遅いので、まだ教育を行っていないという場合は、早急に取り組みたいところ。事前にどれだけ心の準備ができていたかで、実際に攻撃を受けた際の明暗が分かれてしまうことになります。

もちろん、こうした取り組みにおいても、主導的な役割を果たすのがCSIRTであることは言うまでもありません。これまでの記事でも述べてきた通り、平時における環境改善も、CSIRTの重要なミッションの一つだからです。

具体的に取り組んでおきたい内容としては、システム/ネットワーク利用におけるルールやガイドラインの策定、セキュリティ教育のための資料/コンテンツ作成、ユーザーに対する実地教育などが挙げられます。「教育用の資料を一から自前で作成するのは大変…」という場合は、外部の公的機関が公開している資料を利用するのも一つの手。たとえば、独立行政法人 情報処理推進機構(IPA)のWebサイトでは、標的型攻撃の教育に役立つ「標的型メールの例と見分け方」というレポートが公開されています(https://www.ipa.go.jp/security/technicalwatch/20150109.html)。その他にも様々な分野のレポートが公開されていますので、教育の目的や内容に応じて参考にすると良いでしょう。

また、資料やコンテンツについては、単に配布しただけでは読まれないことも多いので、実地教育もなるべく実施するようにしたいところ。新入社員教育や部門ごとの集合教育などできるだけ多くの機会を作り、CSIRTのメンバーが講師役となって、セキュリティ対策の重要性や具体的な対応手法などを直接説くことが望まれます。

Pocket

コメント