多様なサイバー脅威が蔓延る中、富士ソフトのソリューション事業本部内で有志を募り、セキュリティ座談会を実施。その様子を連載形式でお届けします。
Part6では、ランサムウェア被害の深刻さや身代金支払いの是非について議論しました。座談会の締めとなるPart7では、セキュリティの2つの考え方、CxO主導の意識改革について語ります。
参加メンバー
北村 明彦
ソリューション事業本部 インフラ事業部
川西 就
ソリューション事業本部 インフラ事業部 クラウドソリューション部
脇屋 徳尚
ソリューション事業本部 インフラ事業部
岩品 慶子
ソリューション事業本部 インフラ事業部 インフライノベーション部
櫻井 秀憲
ソリューション事業本部 インフラ事業部
セキュリティには2つの考え方がある
――守る体制を築くには、いくつかの考え方があると思います。皆さんのご意見をお聞かせください。
岩品:セキュリティを組むうえでの考え方は、大きく2つあると思います。そもそもデータを損失しないよう“あらかじめ防御しておく”か、データを損失してしまったとしても“復旧できるようにバックアップ構成や復旧設計を整える”かです。コストの都合でどちらかしか選べないとしたら、私は復旧派です。どれほど堅牢なセキュリティ対策をしても、攻撃を100%防ぐことは難しい以上、最終的に事業を止めずに立て直せるかどうかが重要だと考えます。
川西:サイバー攻撃が日々進化しているため、防御態勢を整える考え方では手口の変化に対応しきれず、どうしても後手に回りがちです。侵入されることを前提に対策をしておく方が、理想的なのかなと思います。
櫻井:私も復旧派です。サイバー攻撃や障害が発生しても、バックアップ体制を活用して事業継続を可能にする“バックアップレジリエンス”という発想があります。防御に依存しすぎず、復旧できる体制を整えておくことが現実的だと考えています。
脇屋:私も皆さんと同じ意見です。何よりもデータをリストアできることが、事業継続の視点から最も重要だと考えます。
北村:回答としてはずるいかもしれませんが、防御か復旧のどちらか片方だけではデータを守る手段として成立しないと思っています。防御しているから絶対データを侵害されないわけではなく、バックアップしているからデータを取られていいというわけでもありません。
暗号化しておけば、とりあえずデータの流出は防げます。ただし、暗号化しても、暗号化したデータをさらに暗号化できてしまう点には注意しなければなりません。ランサムウェア対策という意味では、バックアップとして別の場所にデータを置いておくことも重要です。
川西:リスク軽減と一言に言っても、“どのリスクを軽減するのか”という視点が大切です。
CxO主導のセキュリティ意識改革を
――別の場所にバックアップを取っておく場合の最適解はあるのでしょうか。各クラウドベンダーが提供しているバックアップの仕組みを利用するべきなのか、あるいはサードパーティ製品を利用した方がいいのでしょうか。
北村:それも多くの視点があります。BCP(事業継続性)を考えた時に、クラウドベンダーがある日突然事業を継続できなくなる可能性が100%ないとは言い切れません。
政治・経済情勢も大きく関わっています。たとえば、米国の関税問題のように事業継続に大きな影響を及ぼすことも起こり得るのです。そのため、マルチクラウドやオンプレミスでもバックアップを取っておきたいというお客様も一定数います。
――国産のソリューションも検討が必要ということでしょうか。
櫻井:先日、セキュリティに従事されている社外の人たちと会話する機会があったのですが、“国産のソリューションが少ない”ことが議題の1つとして上がりました。やはり国産の製品を盛り上げていかないといけないのかもしれません。
国産のエンドポイントセキュリティ製品やクラウドサービスなどもあるので、今後シェアが増えるといいと思います。
川西:バックアップを取る際に利用する手段の最適解も、企業ごと、もっと言えばデータごとに変わります。結局、“そのデータがどれほど重要か”に左右されます。失っても問題ないと思えるデータなら、そこまで心配する必要はなく、逆に失うと事業継続が難しくなるようであれば、相応の体制でバックアップすべきです。
――データの棚卸しを最優先に考えるべき、ということですか。
川西:データの棚卸しは最優先事項の1つです。自社での対応が難しい場合は、ベンダー企業に依頼してでもすぐに取り組むべきです。
岩品:私も同意見です。大企業やそのグループ企業は、「新しいことにはどんどん挑戦して、環境を刷新していこう」という方針であっても、セキュリティに関しては人海戦術で泥臭く守ろうとする傾向があります。
半永久的にベンダーに依頼するコストはかけられないとしても、せめて最初は専門家を入れて体制を確立させてからの方が、最終的にはかける時間もコストも少なくて済みます。
北村:そういう意味では、CxOクラスの人たちが率先して意識を改革する必要があります。もっとセキュリティ技術に興味を持って、“なぜそのセキュリティ対策を実施する必要があるのか”を根本から理解すれば、企業全体でセキュリティに投資できます。
どうしても今は組織や業務が細分化されているため、セキュリティの現場にいる人だけでは声が行き届きません。それでもセキュリティは組織も業務範囲も、すべてを横断しなければならず、そのためにはある程度トップダウンの性質を持って、経営層から意識を変えなくてはならないのです。
日常に根付くセキュリティ習慣
――最後に、読者の皆さんにメッセージがあれば、お願いいたします。
川西:繰り返しになりますが、アカウントやデータの棚卸しは最優先事項として考えていただきたいです。あるいは、まずアセスメントに取り組んだうえでセキュリティ対策を講じたほうが、管理も楽になります。
北村:「ログは必ず取りましょう」が私からの最大のメッセージです。ログは有効化していない期間の分を後から取得することはできません。まだ有効にしていない場合は今すぐ設定し、少しでも早くログを取得し始めていただきたいです。
櫻井:データの“ログを取る”も、“棚卸しをする”も、結局平時から有事の備えをすることと同義だと思います。災害に対する備えと一緒で、起きた後にどうするかを常日頃から考えておくことが大切です。
脇屋:バックアップの重要性は何度もお伝えしておきたいです。3-2-1-1ルール(バックアップの際にデータのコピーを3つ作成し、2つの異なるメディアに保存し、1つはオフサイトに、もう1つはイミュータブルで保存するという、セキュリティを担保するためのルール)があるように、セキュリティ対策は破られる前提で、“インシデント発生後、いかに業務を素早く復旧させるか”に重きを置いて、備えておくべきです。
また、技術力の向上も大切ですが、まずは新鮮な情報を積極的に集めにいくことが大切だと考えます。セキュリティに限らず、犯罪全般が基本的に“いたちごっこ”だからです。
たとえば、セキュリティ専門会社では、トレンドとしてセキュリティの一次情報を追ったブログ記事をアップしていることも少なくありません。日々記事を読むことは、今すぐできることの1つです。守る側だけでなく、攻撃側の情報も収集することで、よりセキュリティ対策のイメージがしやすくなるはずです。
櫻井:社外の勉強会やシンポジウムなどに参加してみるのもおすすめです。業界の最前線の話や他社の取り組みを知れたり、セキュリティ界隈の著名人とお話ししたりする機会もあります。知り合いがいないと最初はハードルが高いかもしれないので、よく参加している人と一緒に行ってみると楽しめると思います。会社としてそういう取り組みがあるとなおいいでしょう。
岩品:セキュリティがどんなに重要だと分かっていても、やらされている意識があるとどうしても興味が薄れたり、分からなくなったりしてしまいます。1つ参加してみるだけで、意識が変わるかもしれません。
北村:すぐに参加するのは難しくても、“気にする”だけで変わることもあります。気にしている言葉は、自然と耳に入ってきます。セキュリティを考えるなら、あるいはシステムやデータを守ることが自分の役割になったのなら、まずは情報収集のアンテナを少しだけ高く張ってみていただけたらと思います。
関連記事について
前の記事はこちら
『セキュリティ座談会 Part6|【身代金は支払うべき?】ランサムウェア被害に直面した企業の選択』
記事一覧はこちら
セキュリティ座談会に関する記事一覧
関連サービスについて、詳しくはこちらをご覧ください。
