セキュリティエキスパートたちが「最近気になっていること」――＠IT人気筆者陣も登壇：「＠ITセキュリティセミナー（東京）」レポート2016（3/3 ページ）

セキュリティ対策は、維持運用のレベル向上が最重要

　最後に行われた特別講演では、サッポロホールディングス グループリスクマネジメント部 コンプライアンスグループリーダー 情報セキュリティスペシャリスト 芝崎章太郎氏が登壇し、「備えておくべきリスクあれこれ　〜脅威は、もう足元まで来ている！〜」と題し、同社のセキュリティ対策の知見を、経験を踏まえながら紹介した。

報告を行いやすい体制作りを

サッポロホールディングス グループリスクマネジメント部 コンプライアンスグループリーダー 情報セキュリティスペシャリスト 芝崎章太郎氏

　芝崎氏は、「100％防ぐことはできない」といわれる今日のサイバー攻撃に備えるために企業が行うべき対策として、「ルールに沿った運用の徹底」「インシデントへの準備」「意識の醸成」の3つを挙げた。

　同氏は、「ルールに沿った運用の徹底ができているかどうかは、監査によって定期的にチェックするのが一般的だが、多くの監査は短くても半年ごと、場合によっては2、3年に1回という間隔でしか行われない」と指摘し、「これだけ間隔が空いてしまうと運用が形骸化してしまう危険性が高い」と警鐘を鳴らした。

　こうしたリスクに備えるためには、「一般的な災害対策における“非難訓練”と同様に、いざインシデントが発生した際の対策を日頃から予行演習しておくことが重要だ」と芝崎氏は述べ、中でもまず行うべき演習として、「PCを社内LANから切断する操作を全社員に一度は経験させておくこと」を挙げた。

　同氏によれば、マルウェア感染時に始めにやるべきことは「端末のネットワークからの切断」だが、その際に「各部署との調整など、案外手順が分からないケースが多い」のだという。実際にインシデントが発生した際に、こうした初動で手間取り、被害を拡大させてしまうことがないように、日頃から訓練を実施することが大切だと同氏は強調する。

　また、このような対策を下支えするものとして、何よりも大切なのが「自組織のメンバーのセキュリティ意識を日頃から醸成しておくこと」だという。「少しでも『おや？』と思ったときには、しかるべき窓口にすぐ報告する習慣を社内に根付かせることが大事だ。そのために、報告窓口の担当者は『こんなことでいちいち連絡してくるな』などとは決して言わないこと。日頃から気持ちよく応対していないと、いざ本当に何かが起こったときに、報告が上がってこなくなってしまう」（芝崎氏）

最大の備えは「日頃の維持運用レベルの向上」

　最後に芝崎氏は、今日の企業を取り巻くセキュリティ事情や自社の経験を踏まえつつ、「防御」「検知」「対策」「回復」の各取り組みにおけるポイントを紹介した。

　同氏はまず、「防御」の基本姿勢として「企業の全ての情報資産を完璧に守るのは無理だ」と認識することが重要だとした上で、「本当に大事な情報とそうでないものをレベル分けし、それぞれのレベルに応じた対策を講じていくことが必要だ」と述べ、「最低でも3段階の優先順位は設けるのが望ましい」とアドバイスした。

　その上で、ログ管理を中核に据えたシステム監査の仕組みだけでなく、何かあった際に異常にいち早く気付けるような“社員の感度”の向上までを含む「検知」体制を構築することや、ネットワーク遮断などの基本的な手順の確認、関係各所との事前調整などの「対策」を施しておくこと、データのバックアップおよびシステムやデータごとの“復旧の優先順位策定”といった「回復」の体制作りを行っておくことなどが重要だと同氏はまとめた。

　「これらの取り組みはどれも、一度ルールを定めても、時がたつとともに形骸化しやすいものばかりだ。結局は『日頃の対策の維持運用のレベルをいかに上げていくか』に重点を置くことが最大の備えになる」（芝崎氏）