PR
全4451文字

ITセキュリティーリスク管理策には全体像の把握が欠かせない。三菱UFJフィナンシャルグループ(MUFG)では6つのカテゴリーで整理している。特にガバナンスやマネジメントを担う人材の強化が求められている。

 今回はITセキュリティーリスク管理策の全体像と、その管理運営の基本的な考え方を解説します。セキュリティーというと、すぐにツールやソリューションの導入を考えてしまいがちです。もちろんITで対策する側面もありますが、最初からツールの導入を前提にしてしまうと、外部からの情報に振り回され、場当たり的で実効性の低い対策になってしまいます。

 ITツールから考えるのではなく、セキュリティーリスク管理策の全体像を捉える姿勢が重要です。セキュリティーリスク管理策は「オーバーオールマネジメント」「コントロールズ」「オペレーションズ」「バルネラビリティー」「ナレッジ」「インテリジェンス」の6カテゴリーに分けられます。以下で順に解説します。

最初にすべきは組織と方針の策定

 最初の「オーバーオールマネジメント」は全体的な管理機能です。セキュリティーリスク管理策をバランスよく進めるための鍵を握ります。

 最も大切で最初に取り組むべき作業は組織体制をつくり、基本方針や管理基準を定める作業です。企業や社会基盤を守るための合理的な態勢を整備するのに不可欠です。

 体制や基本方針などを整えたうえで、守るべき業務やそれに関係するシステムを特定します。リスクや成熟度を評価して、自社の強みと弱点を謙虚に見定めて可視化します。これらの活動を通じて、戦略的リソース配分しながらPDCAを回します。

 2番目の「コントロールズ」は技術的な管理策です。大きく分けて防衛策と検知策の2種類があります。

 防衛策はファイアウオールの設置やネットワークの分離、IDアクセス管理、データの暗号化などです。もう一方の検知策は、IDS(不正侵入検知システム)や異常検知システムなどの導入、ログ分析といった施策を含みます。

 まずは防御策を優先します。防御力を着実に強化するのが基本ですが、攻撃者の侵入や内部不正を想定した検知策も同時に整備します。不審な兆候をいかに早く見つけていかに対処するかを考えるわけです。

 こうした技術的な管理策を、ネットワーク、デバイス、OSやアプリケーション、データといったそれぞれの層に、多層的に適用します。

 技術的な管理策は「導入して終わり」になりがちですが、その考え方は間違っています。ツールを導入して防げているつもりでいたら実は侵入されていたといった失敗談をよく聞きます。セキュリティーの脅威やシステム環境は常に変化しますので、防御策も適応させる必要があります。

 検知策とセットで考えなければならないのが、3番目のセキュリティー運用に当たる「オペレーションズ」です。脅威の変化に合わせた監視ルールの調整、検知システムから出るアラートの分析、インシデント対応などを実施します。非常時を想定した対応プロセスの整備やインシデント対応の訓練・演習もこのカテゴリーに含まれます。

人材育成に情報収集が欠かせない

 4番目の「バルネラビリティー」は情報資産それぞれの脆弱性を管理する機能です。自社のセキュリティー基準への適合性チェックやセキュリティー設計レビュー、脆弱性スキャン、パッチ適用などです。常に変化する部分ですので、不断の取り組みが必要です。

 5番目の「ナレッジ」は教育や人材育成です。多岐にわたるセキュリティーリスク管理策を企画して実行するのは全て「人材」にかかっているためです。そのため、当社では人材育成に課題認識を持ち、特に力を入れています。

 人材育成には情報収集が欠かせません。コンピューターサイエンスやリスク管理、セキュリティー管理に関する業界標準や最新のトレンド、セキュリティーツールの動向やそれを使った分析など、身に付けるべき知識は少なくありません。知識を実践に生かすスキルを向上させる必要もあります。

 さらに、自身がスキルを磨くだけではなく、業務部門など関係者との密なコミュニケーションや、社員やお客さまに対する啓発活動も「ナレッジ」の大切な要素です。

 脅威環境は常に変化し、ソフトウエアの脆弱性も毎日多く発生します。こうした情報を収集分析して能動的なリスク軽減を図るのが6番目の「インテリジェンス」です。

 最新ソリューションやノウハウに関する情報を収集し活用していく必要もあります。自社だけで完結するのは困難なので、セキュリティー専門家同士のネットワークや業界内の「共助」を役立てるようにします。

この記事は有料会員限定です

「日経コンピュータ」定期購読者もログインしてお読みいただけます。

日経クロステック有料会員になると…

専門雑誌8誌の記事が読み放題
注目テーマのデジタルムックが読める
雑誌PDFを月100pダウンロード

有料会員と登録会員の違い