2020/07/22
by 荒井 英夫
スマートフォンの導入、リモートワークの推進、ISO27001(ISMS)の導入やNIST SP800への対応――情報セキュリティ対策は、企業をとりまく環境や状況の変化に伴い常に見直しを迫られるようになりました。緻密な準備を経て整えられた「万全なセキュリティ対策」が、明日には「残念なセキュリティ対策」になっても不思議ではありません。あなたの会社では、次のようなことが起こっていませんか?
① 本末転倒なセキュリティ対策
社員の生産性向上を狙ってスマートフォンを導入したが、「許可されていないアプリのインストール」「カメラの使用」「電話帳への氏名記載」などを禁止した。
② 人に依存したセキュリティ対策
ファイルサーバーに保存する情報を「資産管理台帳に人手で登録」している、機密情報の不正送信を「目視でサンプリングチェック」しているなど、セキュリティ対策を人に依存している。
③ 性善説に立ったセキュリティ対策
特定のスタッフが「root/administrator権限を長期間持ったまま」になっている。重大なセキュリティ事故の多くが「内部犯行」によるものだが、「うちの社員に限ってそんなことはない」と信じている。
DXCテクノロジーでは、情報セキュリティ対策は「人手や人の善意に頼る」「運用でカバーする」のではなく、最新のセキュリティ技術を効果的に活用しながら、変化し続けるセキュリティ要件に柔軟に対応していくアプローチをご提案しています。
最新のセキュリティソリューションをいかに活用するか
モビリティ、クラウド、AIなどのテクノロジーは、ビジネスの成果を最大化するために導入・活用されるべきで、セキュリティ対策がその妨げとなってはなりません。守るべき情報資産を正しく定義し、セキュリティの脅威に起因するビジネスのリスクを見極めながら、優先順位をつけて高いリスクのある領域から対策を講じていくことが重要です。
上記の例では、次のような解決策が効果的です。単にツールを導入するのではなく、「リスクは常に変化している」ことを前提に、「プロアクティブ(事前予防)なセキュリティ対策」と「インシデントが発生したときに最短で正常な状態に戻せる」ことを考慮し、ビジネスへの影響を最小化することを目指すべきです。
①「本末転倒なセキュリティ対策」を「本来あるべきセキュリティ対策」に
モバイルデバイス管理(MDM)ソリューションを活用し、社員がスマートフォンを自由に使える環境を提供しつつ、マルウェアや紛失による情報漏洩を防止します。
②「人に依存したセキュリティ対策」を「人手に頼らないセキュリティ対策」に
資産管理台帳に人手で登録>>
情報資産管理の効率化には「インベントリ管理ソリューション」が有効です。リスクベースで情報分類を定義し、情報作成・入手時に自動的に分類できる仕組みを整えます。
機密情報の不正送信>>
機密情報を自動的に特定し外部への送信やプリント出力をブロックする「DLPソリューション」、クラウドアプリケーションに対するデータ保護とガバナンスを実現する「CASBソリューション」を活用します。
③「性善説に立ったセキュリティ対策」を「客観性のあるセキュリティ対策」に
特権を定常的に決まったスタッフに付与するのではなく、必要な時に必要な期間だけ必要なスタッフに「権限を自動的に付与」する仕組みを活用します。
自社に最適な情報セキュリティマネジメントの構築に向けて
多くの企業では、情報セキュリティマネジメントの構築や見直しに際して、ISO27001(ISMS)やNIST SP800シリーズを参考にされていることと思います。これらの規格では、情報セキュリティマネジメントの「原則」を定義しているものの、ツールの実装方法や運用手順にまでは言及されていません。企業は、自社のビジネス目標を見据えながら、組織やIT環境、人的リソースを考慮した具体策を講じなければならないのです。
DXCテクノロジーは、企業の情報セキュリティマネジメント、ITリスクマネジメントの領域でも豊富な経験とノウハウを有しています。コンサルティングファームや企業のCSO(Chief Security Officer)出身者で編成されたアドバイザリーチームが、お客様ごとに異なる課題や制約(予算、人材、業務、関係法令など)を考慮しながら、最適な情報セキュリティマネジメントの実現をご支援します。まずは、お客様の課題をお聞かせください。DXCテクノロジー独自のワークショップを通じて、見えなかった課題を明らかにしていく方法もお勧めです。