[デジタル時代のサイバーセキュリティ対策を考える]

“ゼロトラスト対策”から脱却し、攻めのデジタル活用を可能にする

2018年1月17日(水)西野 弘(特定非営利活動法人CeFIL 理事/DBIC 共同設立者)

日本の組織・企業におけるサイバーセキュリティ対策の基本は、社外から社内システムへのアクセス禁止、ファイル送受信の禁止などリスクを避ける"ゼロトラスト対策"。今、その抜本的な見直しが必要になっている。あらゆる企業にデジタル技術の活用が求められる状況にも関わらず、ゼロトラスト対策はそれを阻害する方向に働きかねないからだ。ではどうするのか。サイバー犯罪の動向と対策に詳しい筆者が、あるべき方向を解説する。

 最初に自己紹介です。筆者はグローバルなセキュリティ企業との縁を通じてこの数年間、世界のサイバーセキュリティ対策の状況把握に努め、また国際刑事警察機構(インターポール)グローバルサイバー犯罪専門家委員会の民間委員として多くの事案を見聞し、学ぶ機会に恵まれました。

 2015年には、サイバー犯罪・調査に焦点を合わせた知識体系「CIBOK」構築のアイデアを自ら提案し、編纂プロジェクトマネージャーを務めました。2017年春に発刊にこぎつけ、ワシントンDCの米国商工会議所本部で開いたイベントには多くの司法関係者や取り締まり機関の方々に出席を頂きました。

 続く2017年夏にはCIBOKの日本語版を出版。日本の取り締まり機関関係者への研修も実施しています。CIBOKは主に取り締まり機関においてサイバー犯罪に関わる調査や捜査に携わる方々に向けた知識体系ですが、民間でサイバーセキュリティ対策を担う方々にも参考にしていただける内容です。詳細はhttps://www.cibok.org/ja/にありますので、ご覧ください。一方で2017年春には、日本の大企業27社が集う会員制のデジタルビジネスイノベーションセンター(DBIC)の設立に関与しました。

 そんな活動の中で痛感しているのが、日本におけるサイバーセキュリティの不十分さやいびつさです。デジタルビジネスが進む中でサイバーセキュリティは、あらゆる企業・組織が立ち向かうべき現代の最重要アジェンダの一つになりました。ビジネスを行う上での必要条件であるとも認識されています。しかし日本はどうでしょうか?

 大半の企業ではIT部門の、それも一握りの担当者に委ねるだけで、何かが起きたら慌てて外部の専門家に頼む。そしてなんとか丸く収めようとするのが実情ではないでしょうか? その証拠に多くの企業が今もなお、「ゼロトラストセキュリティ対策」を採っています(この言葉の意味は後述します)。

 当然、これではデジタルビジネス、デジタルトランスフォーメーションなどと言っても絵に描いたモチであり、IoTもビッグデータもAIも生かしようがありません。そうではなく、従来の対策を根本から見直し、リスクマネジメントの重要項目と位置づけて、国家や組織運営の中核を担う人々が真正面から取り組まなければなりません。前段が長くなりました。今後数回にわたって、具体的にどうすべきか、サイバー犯罪に立ち向かうためにサイバーセキュリティ対策をどのように進化させるかについて、お伝えします。今回は、根本的な発想の転換が求められる点についてです。

リアクティブな防御からプロアクティブなリスクマネジメントへ

 2017年に注目を集めたランサムウェアやハッキングなどによるインシデントは、2018年も間違いなく増加し、脅威になると考えられます。政府機関や企業組織は、サイバーセキュリティ対策の強化を目的としたテクノロジーに年間数億円、数十億円もかけていますが、一体その投資は巧妙かつ進化するサイバー犯罪の脅威に対して、本当に有効な防御を提供しているのでしょうか。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
  • 1
  • 2
バックナンバー
デジタル時代のサイバーセキュリティ対策を考える一覧へ
関連キーワード

CIBOK / サイバー攻撃 / DBIC / ゼロトラスト

関連記事

トピックス

[Sponsored]

“ゼロトラスト対策”から脱却し、攻めのデジタル活用を可能にする日本の組織・企業におけるサイバーセキュリティ対策の基本は、社外から社内システムへのアクセス禁止、ファイル送受信の禁止などリスクを避ける"ゼロトラスト対策"。今、その抜本的な見直しが必要になっている。あらゆる企業にデジタル技術の活用が求められる状況にも関わらず、ゼロトラスト対策はそれを阻害する方向に働きかねないからだ。ではどうするのか。サイバー犯罪の動向と対策に詳しい筆者が、あるべき方向を解説する。

PAGE TOP