NTTコムがサイバー攻撃の被害公表前にした準備 顧客を傷つけず､社内の混乱を抑えた方策とは

「サイバー攻撃者への最大の反撃は情報共有だと思っている。攻撃者は緻密に研究して攻撃をしてくるので、1回目の被害はやむを得ない。でも、すぐに情報共有をすれば、2回目は防ぐことができる。こういう話を聞いた経営者の方が会社に戻ったとき、『ウチもこういう対策をしているか？』という一言につながればいいと思っている」

「不便」がシャドーITを生みセキュリティの穴になる

とはいえ、小山氏も指摘したように、まだセキュリティ対策の必要性を十分に感じておらず、適切な対策ができていない企業もあるだろう。そうした企業は何から始めればいいのか。

「まずは端末をはじめとしたITインフラを可視化し、管理できていないIT機器をなくすこと。そのうえで、アカウントと端末を適切に管理し、多要素認証を行う。これだけで攻撃者側のコストを相当上げることができる。かなり高度な攻撃者でなければ侵入できまい」

ここで重要なのは、「例外を認めないこと」と小山氏は力を込める。

「実際に運用すると、いくらでも例外が出てくる。『このパソコンはグループで使うから多要素認証だとアクセスできない』といった具合だ。そうするとシャドーITが発生して管理の穴ができてしまう。不便になると例外を認めてほしくなるので、不便にならないようユーザビリティーを上げることが重要だ」

小山氏は、その法則を「情報セキュリティ方程式」と説明する。ユーザビリティーの向上を分母としてテクノロジーとオペレーションを高めることで、セキュリティの推進力が上がるというわけだ。

「世界中でさまざまな紛争が起きている今、サイバー攻撃も同時並行で行われている。自社のセキュリティを守ることは、大げさではなく国の安全保障につながっていく。基本的な対策ができたら、攻撃に対するノウハウを蓄積しているアメリカのガイドラインをチェックし、自社がどのくらいできているかを見極める。そういう取り組みを恒常的に進めていかなければならない時代だと考えている」

厳しい取り組みのようだが、「情報セキュリティ方程式」に則って考えれば、セキュリティ推進力を上げることは生産性の向上と直結する。「守り」と「攻め」を両立させ、企業としての競争力強化を図るうえでセキュリティ対策は切っても切れない関係になってきているといえそうだ。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、高橋秀和さんの最新記事をメールでお知らせします。