セキュリティのプロが一般論に抱いた違和感とは – まず見直すべきは技術ではなく組織
2024年2月6日(火)9時0分 マイナビニュース
サイバーセキュリティ対策というと技術的な課題にフォーカスしがちだが、「組織面での課題をないがしろにしてはいけない」と唱えるのは川口設計の代表取締役 川口洋氏だ。
同氏は大手セキュリティ企業での業務を経て、内閣サイバーセキュリティセンター(NISC)に出向。官民いずれの立場も経験し、現在は自身が立ち上げた川口設計で企業向けのセキュリティ演習などを提供している。
1月22日〜25日に開催された「TECH+働きがい改革 EXPO 2024 Jan. 働きがいのある企業になるために今すべきこと」に川口氏が登壇。「サイバーセキュリティの理想と現実:効果的なインシデント対応のための戦略」と題して、よく見られる組織の問題を提起するとともに、技術的課題についてすぐに実施できる対策を紹介した。
サイバーセキュリティの理想と現実が程遠い現状
企業や組織のサイバーセキュリティを長年支援してきた川口氏は、企業のサイバーセキュリティにおける理想の姿について次のように説明した。
「経営者のリーダーシップ」、「サプライチェーン全体にわたる対策への目配り」、「社内外関係者とのコミュニケーション」の3原則の下で、経営者の理解があり、CISO(Chief Information Security Officer)などのセキュリティ担当幹部、その下にCSIRT(Computer Security Incident Response Team)などの担当者がいる組織構造がある。ここでPDCAを回し、情報システム部門と業務部門が連携しながら、日々のセキュリティの問題に対処する。
しかし、「現実は違うというところが多い」と川口氏は話す。経営者はセキュリティに興味を持たず、CISOやCSIRTは設置、任命はされていても職務に即した行動があまりできておらず、人事異動もある。これら複数の問題点を挙げた同氏は「特に、事業部門から情報システム部門に丸投げすることが、諸悪の根源になっているようだ」と分析する。
.
同氏は大手セキュリティ企業での業務を経て、内閣サイバーセキュリティセンター(NISC)に出向。官民いずれの立場も経験し、現在は自身が立ち上げた川口設計で企業向けのセキュリティ演習などを提供している。
1月22日〜25日に開催された「TECH+働きがい改革 EXPO 2024 Jan. 働きがいのある企業になるために今すべきこと」に川口氏が登壇。「サイバーセキュリティの理想と現実:効果的なインシデント対応のための戦略」と題して、よく見られる組織の問題を提起するとともに、技術的課題についてすぐに実施できる対策を紹介した。
サイバーセキュリティの理想と現実が程遠い現状
企業や組織のサイバーセキュリティを長年支援してきた川口氏は、企業のサイバーセキュリティにおける理想の姿について次のように説明した。
「経営者のリーダーシップ」、「サプライチェーン全体にわたる対策への目配り」、「社内外関係者とのコミュニケーション」の3原則の下で、経営者の理解があり、CISO(Chief Information Security Officer)などのセキュリティ担当幹部、その下にCSIRT(Computer Security Incident Response Team)などの担当者がいる組織構造がある。ここでPDCAを回し、情報システム部門と業務部門が連携しながら、日々のセキュリティの問題に対処する。
しかし、「現実は違うというところが多い」と川口氏は話す。経営者はセキュリティに興味を持たず、CISOやCSIRTは設置、任命はされていても職務に即した行動があまりできておらず、人事異動もある。これら複数の問題点を挙げた同氏は「特に、事業部門から情報システム部門に丸投げすることが、諸悪の根源になっているようだ」と分析する。
.
関連記事(外部サイト)
