セキュリティ対策の効果が｢出る企業｣｢出ない企業｣の差 "同業他社が〇〇に感染→〇〇対策"は非効率？ お金･人的リソースをムダ遣いしない方法

まず守るべき資産を可視化し、その資産に対してどれだけ守ることができているのか、どこが弱点になっているのかを明らかにする。それらが明確になったらそれぞれ優先順位をつけて、効果的な対策は何かを検証したうえで人材やプロセスを動員し、効果的なセキュリティ対策を実現していく。

外部委託しても責任は「自社にある」という意識を

このステップをきちんと踏むことで、自分たちが守るべき対象の理解が深まるとともに、実際に攻撃を受けてしまう可能性が可視化できるので、何から着手すべきかが明確になり、効果的なセキュリティ対策ができるようになる。

「短期的な成果の観点で見ると、CTEMは可視化と検証をしたうえで対策を行うので、取り組めば取り組んだだけの効果が出やすく、かつ見えやすい仕組みといえます。継続的に5つのステップを回していくので、組織にサイバーセキュリティを定着させていくことにもつながるでしょうか。今後、企業がリスク中心の観点でセキュリティ対策をしていくうえで重要なアプローチだと考えています。

また、CTEMを多くの人手をかけて行っていくのは非効率で現実的ではないので、CTEMに対応したツールの導入や、運用の外部委託も選択肢になるでしょう。ただし、最終的にサイバーリスクに対して責任を持つのは自社の責任者になるので、『委託先から得られたフィードバックに対して、何らかの判断やアクションを起こすのは自分たちである』との認識を忘れないことが非常に重要だと思います」

日々サイバー攻撃が巧妙化する現在、限られた人員とコストで自社を防衛するためには個別のインシデントに対処するだけでなく、リスク全体を見据えた統合的な管理を行うことが不可欠だ。

また、状況に応じてフレームワークや外部の専門家の支援を活用することも有効な選択肢であるが、最終的なリスクに関する判断と責任は自社が主体的に担う必要がある。これら二点を念頭に置くことがセキュリティ対策の大前提となるだろう。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、宮内 健さんの最新記事をメールでお知らせします。