連載
» 2017年08月21日 05時00分 公開

セキュリティ・アディッショナルタイム(18):「私のインシデント対応、これで大丈夫?」――セキュリティの不安を共有し、一段上を目指す取り組み (2/2)

[高橋睦美,@IT]
前のページへ 1|2       

脆弱性対策、4つのポイント

WAFの「運用」に注力せよ

 このサンプルに対する各チームのプレゼンデーションでは、「Webアプリケーションの脆弱性への対処」の重要性を複数のチームが指摘した。脆弱性対応とともに、本来ならばサイバー攻撃からアプリを保護してくれるはずのWebアプリケーションファイアウォール(WAF)の「運用」が重要であることに触れた点が特に興味深い。

 「WAFが導入されていたにもかかわらず、当該コンテンツがWAFの防御対象から外されていた」ことに複数のチームが触れ、コンテンツの増加に対応した監視設定の最適化が重要であると結論付けた。加えて、改ざん検知など、不正なプログラムが設定されたことに早期に気付く仕組みも重要であり、事故を前提とした取り組みも求められるとしている。

経営層を巻き込め

写真3 写真3 データオーナーの「メダル」と「王冠」

 こうした技術面での対策以外にも、さまざまなアイデアと気付きが飛び出した。

 まず全てのチームが「経営層の関与」の重要性を指摘。インシデント発生時に迅速な意思決定を行うにも、予防策として何らかの投資を行うにも、経営層の関与は不可欠だ。その中でセキュリティ担当者には、事例を伝えて経営層に意識を持ってもらいつつ、技術と経営の間で通訳としての役割を果たしていくことが重要だとした。

 個人情報を扱っている当事者意識を社内全体に持ってもらうことの重要性と難しさも共有した。1つのアイデアとして、個人情報を扱う「データオーナー」にメダルと王冠(写真3)を手渡し、目に見える形で任命した上で管理できていることを評価し、モチベーションにつなげてもらうというユニークなアイデアも出た。

加点法で評価するには

 減点式ではなく加点式で担当者を評価するというアイデアも紹介された。セキュリティに取り組んでいると、評価はどうしてもゼロかマイナスになりがちで、何もなくて及第点という具合だ。

 だが発表チームの中には、セキュリティに関して具体的な目標を立てて期末に評価し、それが事業部長の評価となり、最終的には社長にも成果として見える仕組みを作っている企業もあるという。正式な評価という形ではないが、「仲間のために役立ってくれた人」「リスクを見つけ、減らしてくれた人」に感謝の気持ちを伝えるカードを手渡し、モチベーションにつなげている企業もあるそうだ。

再発防止策の効果を検証せよ

 またあるチームは、「再発防止策の効果確認も重要だと考えている。事件が起きた直後はどの会社も反省しており、『あれもやります、これもやります』と言うけれど、3カ月後に確認するとやってないことも多い。本当にやっているか、一定期間たった後にレビューすることも必要だ」と指摘した。

 一連の解析には、インシデント当事者となった企業の担当者も参加していた。「再発防止策や規定の見直しをしているところだ。方向性が間違っていないことを再確認でき、さまざまな提案が参考になった」と述べている。

 守屋氏は「技術どうこう以外の部分でどんな施策があるか、見落としがないか困っている人が、互いに情報を共有し、活用してもらえたのではないか」と述べ、可能であれば経営層の人々も巻き込んで分析と知見の共有を進めていきたいとしている。ワーキンググループでは継続的に、インシデント事例分析を行っている他、2017年秋には再び、今回のような大規模な事例分析を実施する計画だ。

 NCAは2017年8月23〜25日に「NCA 10th Anniversary Conference」(プログラム内容)を東京で開催する予定だ。このカンファレンスでも、現場ならではの「悩み」と「解決策」のヒントが紹介される。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。