連載
» 2018年07月17日 05時00分 公開

@ITセキュリティセミナー2018.6-7:高レベルのセキュリティが求められる金融機関の「セキュリティ担当者あるある」とは

@ITは、2018年6月22日、東京で「@ITセキュリティセミナー」を開催した。本稿では、金融機関トラックの基調講演「金融機関のセキュリティあるある〜意外とできていない基本のキ〜」の内容をお伝えする。

[高橋睦美,@IT]

 @ITは、2018年6月22日、東京で「@ITセキュリティセミナー」を開催した。本稿では、金融機関トラックの基調講演「金融機関のセキュリティあるある〜意外とできていない基本のキ〜」の内容をお伝えする。

「セキュリティ担当者あるある」、エキスパートの答えは?

@IT編集部 宮田健

 「頑張って説明しても、経営層がなかなかセキュリティの必要性を理解してくれない」「予算がない、人もいない」「やることが多過ぎて、どこから手を付けたらいいか分からない」……こんな悩み、セキュリティ担当者ならば一度は抱えたことがあるのではないだろうか?

 「金融機関のセキュリティあるある〜意外とできていない基本のキ〜」では、@IT編集部の宮田健が司会を務め、金融機関はもちろん、一般の企業でも「あるある」と思わされる悩みを紹介。「最初の配属は営業で、ITシステムってあまり好きじゃなかった」というカーディフ生命保険のシニアセキュリティオフィサー、森岡聡一郎氏と、IT畑で長い経験を持ち、金融ISACでAKC(Active Knowledge Center)ワーキンググループの副座長を務める、三井住友銀行 システム統括部 上席推進役 二宮賢治氏がそれぞれの経験を踏まえつつ、悩めるセキュリティ担当者に向けたアドバイスを紹介した。

AKC(Active Knowledge Center):サイバーセキュリティ対策について、どのように進めればよいか分からないという悩みを持つ会員企業に対し、おのおのの身の丈に合った施策が実行できるよう、各地域に出向きつつ、機動的かつ具体的なサポートを実現していくワーキンググループ(参考)。

頑張って説明しても、経営層がなかなかセキュリティの必要性を理解してくれない

 金融機関といえば、一般の企業以上にセキュリティの必要性を認識し、対策をとっているものと思われがちだ。だがそんな風土でも、森岡氏のように「そもそもなぜセキュリティ対策がここまで必要なの?」と経営層から尋ねられた経験があるという。これに対し二宮氏は、「普段から、自分たちは何を守らないといけないか、またそれを取り巻くリスクは何かを意識していなければならない。そして上司に、『ここまで対策すれば、リスクはこのくらい』と定量的に説明できるようにしておくことが大切だ」と述べた。

 ただ、経営層からすると、いきなりカタカナの専門用語を並べられても戸惑うのも事実。「今でもシステムはよく分からない」という森岡氏は、「もともと非技術系ということもあり、DDoSがどうとかランサムウェアがこうとかではなく、『もし漏えいが発生したら評判が落ちますよ』といった具合に、専門用語をどのように置き換えて説明するかを常に考えている」とコメントした。

 一例として「資産管理」がある。「家では通帳や財布、印鑑がどこにあるかを把握しているはず。セキュリティの世界でいう資産管理も同じことで、守るものは何かを把握し、どこにあるかを把握すること。そう考えるとセキュリティは何も特別なことではなく、身近にやっていることがサイバー空間に行っただけ」(森岡氏)

セキュリティ対策をやりたくても、人も予算も足りない

三井住友銀行 システム統括部 上席推進役 二宮賢治氏

 別の「あるある」が、「セキュリティ対策をやりたくても、人も予算も足りない」というものだ。これに対し二宮氏は意外なコメントをした。「そもそも何をやったらいいか分からない、という企業に比べれば、やるべきことが分かっている分、一歩先に進んでいるのでは」という。

 これを踏まえて森岡氏は、「人が足りなくて大変なのはセキュリティに限った話ではなく、どの部署も同じ。人や予算が限られているのは事実なのだから、その中でどうするのか。自省も込めて言うが、相手に本当に分かる言葉でコミュニケーションをしているのか、何に対して人が足りないのか説明できているかを考える余地があると思う」と述べた。

 とはいえ、孤軍奮闘にも限りがある。サイバー犯罪が増加する中、「単独の金融機関だけでは到底太刀打ちできない世界が来る。ライバルだとかそういったことに関係なく、協力して対処する必要があると考えて設立されたのが金融ISACだ」と二宮氏は説明した。

 実際に参加してみて、森岡氏はびっくりした。「火花を散らしているライバル金融機関のセキュリティ担当者同士が、仲良く話している」からだ。担当者同士が腹を割ってざっくばらんに話をし、情報や悩みを共有することで得られる効果は大きい。金融ISACのAKCはもちろん、「セミナーや懇親会など、仲間を見つけるのにやり方はいろいろある」(森岡氏)そうだ。

やることが多過ぎて、どこから手を付けたらいいか分からない

カーディフ生命保険 セキュリティ統括部 シニアセキュリティオフィサー 森岡聡一郎氏

 もう1つよく耳にする「あるある」は、「やることが多過ぎて、どこから手を付けたらいいか分からない」というものだ。これについては両氏とも、「会社として何が一番大事か、何を一番守らなければならないか」を考え、それに沿って対策を進めていくことだと一致した。

 ただ、不正送金やDDoSなど、対策すべき事柄が広がってきているのも事実だという。このようにやるべき事柄は増えてはいるが、森岡氏は「昔は知らない専門用語を学ぶのに、数千円もする専門書を購入して勉強しなければならなかったが、今は検索すればいろいろな情報が取得できる」と述べた。

 さらに「流行の言葉やベンダーの言うことに踊らされるのではなく、見極める目を養っていかなければいけない。piyokangoさんのまとめなども参考に、日々どんなニュースがあるかを見て、その意味するところや背景を理解しなければならない」(二宮氏)。

セキュリティ担当者になって良かった?

 最後の問いは「セキュリティ担当者になって良かった?」というもの。森岡氏は「やってみると面白い。セキュリティをやっていると世の中の動きが分かるし、ITを担当すれば会社の業務の流れが分かる」と述べた。また二宮氏も「もちろん」と述べ、特に「手を替え品を替えやってくる犯罪者の手法にキャッチアップし、負けずに対策していくのは、苦しさもあるが楽しさもある」という。そこでは技術力もさることながら「知らない人にも理解してもらえるよう説明するコミュニケーション能力はとても大切」だと二宮氏は付け加えた。

 セッションの締めくくりに森岡氏は、利休道歌の「その道に入らんと思ふ心こそ我身ながらの師匠なりけれ」という言葉を紹介。競合や業界のくくりを超え、サイバー犯罪に立ち向かう会場の「同志」たちに「セキュリティ担当者になったのなら、まずは自ら学び、やってみよう」と呼び掛けた。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。