「セキュリティ・キャンプ2015」レポート
~火事を起こさない「攻めのセキュリティ」に必要なこと~

セキュリティキャンプ2015

2015年8月に開催された「セキュリティ・キャンプ全国大会2015」で、強いセキュリティプロフェッショナルになるための講義プレゼンテーションを行いました。学生向けの短いプレゼンテーション講義でしたが、企業のシステム/セキュリティ担当者が押さえておくべき内容も多く含まれています。その内容を抜粋しながら、CTCが考える「攻めのセキュリティ」に必要な事柄を紹介します。

 

2015年8月11日~15日に情報処理推進機構(IPA)によって開催された「セキュリティ・キャンプ全国大会2015」で、協賛企業として講演をしてきました。

このイベントは、全国から50名ほどの学生を集め、さまざまな視点から情報セキュリティについて学んでもらう合宿勉強会です。一線で活躍するエキスパートが講師となって、非常に高度な講義が行われます。学生の皆さんは、一週間情報セキュリティ漬けでヘトヘトになるほどですが、非常に積極的に講義を受けていました。

近年のIT業界、特に情報セキュリティ分野は人材不足に悩まされています。しかし、楽しんで取り組んでいるプロフェッショナルが少なくないのも事実で、学んでみると非常におもしろい・興味深いというのが私の印象です。次の10年間を戦える人材を育てる意味でも、セキュリティ・キャンプは非常に価値の高いイベントだと感じています。

対岸の火事を見たときに何を考えるか?

以前は、セキュリティリスクと言うと“対岸の火事”として扱われることが大半でした。昨今では、向こう岸もだいぶ近づいているようですが、感じ方はあまり変わらないようです。しかし問題は、実際に“対岸の火事”が発生したときに、どのように対処するかという点です。

第一印象として「大変そう」「自身に火の粉が飛んでこないか」と身構える人がほとんどだと思います。しかし、情報セキュリティの関係者で対策を実施する立場にある場合、「よし、消しに行こう」という積極的な姿勢も必要です。しかし、一方で、そもそも「火事を起こさせない」方法を考えることが、本当に必要な情報セキュリティ対策だと考えています。

いかに攻撃者の一歩先を行くか、攻撃を失敗に終わらせるかという考え方──つまり「攻めのセキュリティ」こそ重要で、私たちは常にこのマインドを持ってサービスを提供しています。皆さんも、このマインドを持って、忘れないでいただきたいのです。

セキュリティ技術だけでは安全性を確保できない

セキュリティ・キャンプの講義では、テクニカルスキル寄りの内容になっているという特徴があります。高度なフォレンジック技術や解析手法などを学ぶ機会はなかなかありませんから、非常に貴重な経験だと思いますが、それに留まることなく学生の皆さんにはより広く学んでほしいと考えています。

実際に情報セキュリティ対策の導入や運用を行ってみると、ビジネス戦略・企画からITの設計、構築、テスト、導入、運用、保守というITライフサイクルのすべての部分で、何をすべきなのかを考慮する必要があることに気づきます。また、各種の法令や制度、運用方法、組織体制など、考えなければならないことが山積みで、現場と経営とのギャップを埋める活動も必要です。

したがって、実際のセキュリティ対策には「テクニカルスキル」に加えて、リスク管理や監査などの「マネジメントスキル」も必要となります。情報セキュリティの業務領域

とは言え、これら全てを網羅的に理解し対応が出来る“スーパーマン”はなかなか存在しません。重要なのは、得意分野だけに注力するのではなく、本当に情報セキュリティの対策を推し進めることが出来るように周辺の知識を得ることです。視野を広げると、視野を広く持つ癖を身につけることでさらに強い人材になる素養を育んで欲しいと考えています。

企業のセキュリティ対策においても、それぞれの役割の重要性を認識し、しっかりと分担することが重要です。例えば、最新のセキュリティ製品を導入しても、必ず何らかの運用が伴います。そのため、導入のみならず、継続的な運用を想定した体制を作る必要があります。場合によっては、プロフェッショナルのマネジメントサービスも視野に入れたいものです。

スクラムを組んでサイバー攻撃へ立ち向かう

当社のセキュリティビジネスにおいても、テクニカルの部門とマネジメントの部門に役割を分担し、高度な知識を持ったプロフェッショナルを擁して、必要に応じて互いに協力しながらサービスを提供しています。

CTCのビジネスは、金融や流通、公共、サービスというように、事業ドメイン毎の事業部制を敷いています。一方で私たちの部門は、全領域のセキュリティを統轄し、コンサルティングから設計・導入、運用保守、必要に応じて教育まで提供する役割を担っています。つまり、さまざまな業種・業務に対応したノウハウを蓄積しているという特長があります。CTCセキュリティ組織

とは言え、CTCのみですべてのセキュリティ情報を入手し、すべての企業の安全性を確保できるわけではありません。そこで、OWASP JapanやWAS Forum、情報セキュリティ監査協会のようなコミュニティ・業界団体にも参加し、他のセキュリティベンダーやサービスプロバイダーなどとのつながりを強化することにも注力しています。同業他社であっても、目指すところは同じであるため、スクラムが組みやすいということもあります。

こうしたコミュニティ等への取り組みは、セキュリティ対策を任せるベンダーの選定ポイントとしても覚えておきたいものです。

 最後に

「攻めのセキュリティ」と一口に言っても、実践は容易ではありません。大きなコストがかかりますし、手間のかかる作業も増えるからです。しかし、対岸の火事が見えたときには、すでに火の粉が飛んで自社で燃え広がっているかもしれません。もちろん予算など、さまざまな背景が理由で、調査・解決手段に限界があることもありますが、最適化のノウハウをもとに、私たちも、「攻めのセキュリティ」の実践に向けて、引き続き取り組んでいきます。

編集:

大谷sanクラウド・セキュリティ事業推進本部
セキュリティビジネス部
セキュリティアセスメント課
課長
大谷誠司
伊藤sanクラウド・セキュリティ事業推進本部
セキュリティビジネス部
セキュリティアセスメント課
公認情報セキュリティ監査人補(CAIS) VEリーダー
伊藤優子

 

メールマガジンを購読する

Pocket

コメント