2016/8/4
「目からウロコのレイヤーズ経営通信」第40号/貴社のITセキュリティが漏れがちな穴とCSIRT -Part2-
ITセキュリティに必要な投資がなかなか承認されないのはつらいところ。CSIRTで社外と連携し、「社会的な対策レベル」をもとに社内を啓蒙するのは手。
- ITセキュリティベンダも、「防御」一辺倒から、経験を蓄積して「適応」するまでのライフサイクルを指向し始めた
- ITセキュリティのライフサイクルにおける悩みを共同解決する場としてのCSIRT
ITセキュリティ対策には、当たり前ですが知見と投資が必要です。
しかし、ITセキュリティは小難しく、また業績には直結しないと思われているためか、なかなか投資稟議が通りません。
さて、セキュリティ対策のPDCAをご存知でしょうか。
米国では、「Protect(防御)」「Detect(検知)」「Correct(復旧)」「Adapt(適応)」と定義し、“防御”中心のソリューションから、迅速な“検知”→ “復旧”と、経験をフィードバックして“適応”するライフサイクル全体への取組みに舵を切りました。
一方、ユーザ側の動きも出ています。
企業内にCSIRT(シーサート:Computer Security Incident Response Team)を組織し、ライフサイクル対応を目指す企業が増えています。また、各社CSIRTの連合体である日本シーサート協議会では、会員の共通課題を協力して解決・提言するワーキンググループも立ち上がっています。
ITセキュリティは、もはや社会的重要問題です。会社レベルで議論し、きちんとした対策を講じるべきと考えます。
株式会社レイヤーズ・コンサルティング
IT事業部 副統括マネージングディレクター
加藤 道隆