「第3回:企業へのサイバー攻撃――手法の変化と“搦手”の防御」はこちら>
「第4回:システムの何が狙われるのか?」はこちら>
「第5回:異常事態にどう備え、どう対処するか?」はこちら>
教えることは自分自身の勉強にもつながる
周りの人よりちょっとPCが得意――それだけの理由で、組織の情報セキュリティ担当に指名された人も少なくないと思います。かつてのわたしもそうでした。
セキュリティ監視や端末・ネットワーク保守業務などを外部にアウトソーシングしている企業もあるかもしれませんが、職場内の日常的なセキュリティ指導・教育や障害・セキュリティインシデントへの一時対応のための担当を(もちろん兼務で)置いている組織も多いのではないでしょうか?
もちろん、これらの技術的対応は重要な業務で、さまざまなセキュリティの脅威や対処方法、サイバー攻撃やマルウェアなどの動向に関する情報の収集を行う必要もあり、結構忙しいものです(わたしの場合はそうでした。)
特に平日は、業務の都合で稼働停止することができないシステムの場合、休日出勤して対処することも往々にしてあります。「セキュリティ担当なんて、やりたくない」「できれば指名されたくない」が多くの方の本音ではないでしょうか。
別の(本来の)仕事を行っているときに、簡単なPC(OS)の使い方やオフィスアプリ(特に表計算ソフトなど……)の操作方法を聞くウザイ上司や同僚の相手をするだけでも大変なのに、社内の「標的型攻撃メール訓練」の実施を求められる、ということもあるかもしれません。
日常業務の中での“気づき”から改善策を提案する
このような訓練やセキュリティ教育はもちろん重要です。しかもその実施に際しては、関係部署と調整した上で(これが結構面倒)実施しなくてはならないし、訓練の結果を参加者にフィードバックしたり、訓練実施時にシステム的な要改善点が見つかった場合には、システム開発や保守を担当する部門に通報したり、という面倒な作業も求められます。
普段の業務に忙しい一般の従業員からは嫌われる上、標的型攻撃メール訓練などにひっかかる人は、普段あまり端末を使わない上司(幹部)が多く、彼らに結果を報告すると「訓練のやり方が悪い!」と言って叱られる(あくまでもわたしの個人的経験です)ことも多い、というのが実情ではないでしょうか。
セキュリティに関わる問題の新たな解決策、製品導入といったアイデアを経営陣や上司に進言し、説得することも、セキュリティ担当者にとって最も意義のある業務と言えます。また、セキュリティ確保のために日々の業務の中で経験した蓄積を基に、個々の従業員の負担を増やすのではなく、効果的なシステムの導入やセキュリティに関する施策についての提言を行うことも重要です。
例えば、「データに対するアクセスをすべて信頼しない」ことを前提にした「ゼロトラスト・セキュリティ」を実現するためのEDR(Endpoint Detection and Response※)の導入について、その重要性・必要性をわかりやすく上司に説明して予算を獲得することは、なかなか難しいものです。この連載で掲載してきた図はわたし自身が作成していますが、実は昔も、上司を説得するためにこのような図を描いて説明したものです。
* エンドポイントにおけるPCなどの状況を監視し不審なアクセスの検知や対処を行うシステム。これに対してXDR(Extended Detection and Response)は、エンドポイントだけでなくネットワークやクラウドなどの状況も多層的に脅威を監視して検出を行う。また、EPP(Endpoint Protection Platform)は「エンドポイント保護プラットフォーム」すなわちマルウェア感染防止に特化したシステム。
皆さんも、例えば組織内におけるセキュリティ教育用コンテンツをご自身で作成してみる、というのはいかがでしょうか? きっとご自身の知識や技術力の向上に役立つと思います。
全社的なセキュリティを担当する場合には、事業部や部門ごとに、稼働するシステムや従業員に求められるセキュリティ対策が異なっていないかなど、部門間の連絡・調整や統一的なセキュリティポリシーの策定や維持も重要な業務ではないでしょうか。
また、日常のセキュリティ管理業務だけでなく、定期的に監査を実施して、結果や改善点を組織内で共有するような取り組みも、その結果を組織全体にフィードバックすることができれば、その組織のセキュリティレベルを効果的に高めることができると思います。
羽室英太郎(はむろ えいたろう)
一般財団法人保安通信協会 保安通信部長(元警察庁技術審議官、元奈良県警察本部長)
1958年、京都府生まれ。1983年、警察庁入庁。管区警察局や茨城・石川県警などでも勤務、旧通産省安全保障貿易管理室(戦略物資輸出審査官)、警察大学校警察通信研究センター教授などを経験。1996年に発足した警察庁コンピュータ(ハイテク)犯罪捜査支援プロジェクトや警察庁技術対策課でサイバー犯罪に関する電磁的記録解析や捜査支援などを担当。警察庁サイバーテロ対策技術室長、情報管理課長、情報技術解析課長などを歴任し、2010年12月からは政府の「情報保全に関する検討委員会」における情報保全システムに関する有識者会議の委員も務めた。2019年より現職。著書に『ハイテク犯罪捜査の基礎知識』(立花書房,2000年)、『サイバー犯罪・サイバーテロの攻撃手法と対策』(同,2007年)、『デジタル・フォレンジック概論』(共著:東京法令,2015年)、『サイバーセキュリティ入門:図解×Q&A【第2版】』(慶應義塾大学出版会,2022年)ほか。