みんなのセキュリティコラム(Grafsec・SPREAD共同コラム)2021年3月24日配信

◆◆◆━━━━━━━━━━━━━━━━━━━━━━━━━━
【みんなのセキュリティコラム(Grafsec・SPREAD共同コラム)】
                    2021年 3月24日配信
『もう一歩先へ行く、企業と個人のサイバーセキュリティ対策』
     日本マイクロソフト株式会社
     アカウントテクノロジーストラテジスト
     山崎 淳一 様
━━━━━━━━━━━━━━━━━━━━━━━━━━◆◆◆

私は大手法人企業のお客様に対して、自社製品の提案の傍ら、IT
の活用を通じて業務生産性の向上やよりよい働き方を実現するた
めの支援を仕事として行っています。ITを活用するために切って
も切れないのがセキュリティの確保です。セキュリティと一言で
言っても、多くの従業員を抱え、様々な資産を保有する企業にお
いて、検討すべきことは多方面に渡ることは想像に難くはないで
しょう。私たち個人でさえ、自分の身の回りのセキュリティを確
保し続けることは大変ですが、企業のセキュリティとなると実に
多くのことを検討しなければなりません。
では、企業においてはセキュリティをどのように捉えて対策をし
ていけば良いのでしょうか?世の中には様々なアプローチがあり
ますが、一つの道標になるのが米国国立標準技術研究所(NIST)
が提唱している「サイバーセキュリティフレームワーク」です。
NISTは日本におけるJISのような機関で、米国内に流通する様々
な製品やサービスを安全、快適に利用できるようにするための指
針を定めています。米国向けでありながら、事実上の国際標準の
位置づけとなっている指針も多く、セキュリティ領域においても
日本をはじめ多くの国において参考にされています。

※かなり抽象的な内容となりますが、サイバーセキュリティフレ
 ームワークの説明資料に日本語訳を付けたものがIPAから公開さ
 れていますので、興味のある方は読んでみてください。

 重要インフラのサイバーセキュリティを改善するためのフレー
 ムワーク 1.1版(IPA)
 https://www.ipa.go.jp/files/000071204.pdf

このサイバーセキュリティフレームワークでは、取り組むべきセ
キュリティの領域を「識別」「防御」「検知」「対応」「復旧」
の5つに分けています。このうち、「識別」と「防御」は「サイ
バー攻撃をいかに防ぐか?」という観点で、「検知」「対応」
「復旧」は「攻撃を受けてしまった後にいかに対処するか?」と
いう観点となります。
皆さんは、セキュリティ対策と聞いて何を思い浮かべるでしょう
か?複雑なパスワードを設定する、疑わしいサイトにはアクセス
しない、ウィルス対策ソフトを入れるといったことを心がけてい
る方は多いと思いますが、果たして「攻撃を受けてしまった後に
いかに対処するか?」という観点で十分に考えられていらっしゃ
るでしょうか?「自分はセキュリティ対策を心がけている方だか
ら大丈夫」 - そう考えている方ほど、実は攻撃を受けてしまっ
た後の対処までは意識が回っていないものです。
企業においても、これまでは「サイバー攻撃をいかに防ぐか?」
という観点からの対策が中心でした。そのため、不幸にもサイバ
ー攻撃を受けて個人情報が流出してしまった際に、問題の検知が
遅れたり、個人情報流出の被害を受けた方々への対応が後手に回
ったりする事例が散見されました。こうした経験を踏まえ、今で
は多くの企業でサイバー攻撃を受けた後の対処について本格的に
取り組んでいます。
一方、私たち個人が自分だけの力で、サイバー攻撃を受けてしま
った後の対処法を確立することは中々難しいのが現状です。「も
し私の個人情報が流出したと企業から連絡を受けたらどうするの
か?」「SNSのアカウントが乗っ取られてしまったらどうするべ
きなのか?」など、身近に起こり得るサイバー攻撃への対処につ
いて、日頃から身近な人と話し合って意識を高めていくことが、
万が一の際に迅速かつ冷静に対処をして、被害を最小限に食い止
めるための一歩に繋がります。実践してみることをお勧めします。

※ 本コラムの記載内容は個人の見解であり、所属会社の立場、
  戦略、意見を述べたものではありません。


【執筆者(山崎 淳一 様)プロフィール】
日本マイクロソフト株式会社 大手法人顧客担当 技術営業職(ア
カウントテクノロジーストラテジスト)。
IT企業に新卒入社し、システムエンジニアを経験後、2006年に日
本マイクロソフトに転職。主に法人企業に対するシステム導入の
提案や利活用支援を行う一環として、セキュリティ啓蒙活動を実
施。SPREADセキュリティブログへの記事投稿や大学での講演活動
などを通じて、幅広い層の方々へのセキュリティ意識向上にも努
めている。2019年より慶應義塾大学大学院 SDM研究所 研究員。


日本マイクロソフト株式会社
https://www.microsoft.com/ja-jp


※みんなのセキュリティコラムの著作権について
みんなのセキュリティコラムに掲載の記事(以下、コラム)の著
作権は執筆者に帰属し、法律によって保護されています。
コラムの一部または全部を著作権法が定める範囲を超えて複製・
転載することを禁じます。