10.jpg

コラム

NBAのファイナルが始まる

Posted by GRCS | 2018/06/06 10:57:18

~情報セキュリティは専門家だけのものではない~

セキュリティ・エグゼクティブ・ディレクター 中島浩光

 

さて、今回は前回の続きとなります。

ちなみに、NBAのプレーオフは試合が進み、東西のカンファレンスの王者が決まりました。そして、もうすぐファイナル(決勝)が始まります。さて、今年はどうなるのか?

 

情報セキュリティにおける「審判」が必要な場面は?

 

さて、前回の最後に組織の中における「審判」の役割は誰なのか?というところで、CISOや情報セキュリティ担当者がいればいいが、という話をしましたが、実はそういう人がいたとしても中々難しい話があったりします。

では、組織の中で「審判」が必要とされるのはどのような場面でしょうか?

状況としては、大きく3つの場面が考えられます。

一つ目は組織内においてバスケットボールでいうところの「公式ルール」を考える時。この時は、組織全体の業務・システム等を考慮しながら、実施するセキュリティ対策、利用者が守るべきルール、管理の方法を考えていきます。

二つ目は組織全体ではなく、一部部署内やプロジェクト内といった時間や範囲を区切った形の「ローカルルール」を決める時。この時は、その「ローカル」な状況に合わせて、実施するセキュリティ対策、利用ルール等を考えていきます。

この二つの「ルールを作る場面」でも「審判」の能力は必要なのですが、本来の「審判」の役割は「実際のゲームでのプレーが、ルールに違反していないか?」の判断と「そのルール違反を実際に摘発するか?」の判断を行う事であり、組織の中の日常において、ルール違反が行われていないかを監視し、違反を見つけた場合にどうするか?を考えることなのです。

そのため、組織の中で「審判」が必要とされる三つ目の場面は、組織の日常業務の全ての場面においてルール違反がないかと違反を摘発するかを判断することになります。

 

「審判」は誰がやるべきなのか?

 

さて、上に書いた一つ目、二つ目のルールを考える場面というのは、日常的に発生するというより「そのルールを決める場面」でその人が必要になります。そのため、社内のCISOとか情報セキュリティ管理者・担当者といった人がいればそういった人がやるべきですし、場合によっては外部の専門家にその時だけ頼む、というやり方も可能です。

しかし、三つ目の場面は「組織の日常業務のすべての場面」となるため、CISOや情報セキュリティ管理者・担当者が全ての場面を日常的に監視・判断するのは、人数・工数を考えると難しくなります。そのため、この場面においては工夫が必要になります。

まず、「情報セキュリティ監査」や定期点検という形でいわゆる監視の頻度を下げるやり方があります。この場合、CISOや情報セキュリティ管理者・担当者や監査人が「審判」となりますが、どうしても、「日常業務のすべての場面」を見ることは不可能になります。

また、いわゆる「セキュリティ監視ツール」を使い、「審判」の仕事の一部を自動化するやり方があります。これは利用者のシステム上の行動を監視し、違反があれば、アラートを上げて対応を促し、また、場合によっては自動的に対応を行うというものです。これは、非常に有効なツールではありますが、導入のハードルが現時点ではまだ高い、「カバーできない範囲」がある、といった部分があり、ポイントを押さえた一部範囲での導入、もしくは、段階的な導入を行うことによって、専門家が必要な場面の工数の削減を行うことは可能になります。

そして、最後に「審判」を「現場に任せる」というやり方があります。

例えばですが、皆さんがある交通量のある交差点で信号待ちをしていて、その横を子供が赤信号を渡ろうとしているのを見たら、「危ない!」、「ダメ!」、「赤信号!」と言って、注意を促したり、場合によっては子供を引っ張って引き戻したりすると思うのです。このとき、皆さんは交通安全というルールの「審判」の役割をしています。しかし、交通量の少ない住宅街の細道で車が通っていない時に子供が道路で遊んでいても、特に注意したりはしないと思うのです。厳密にいうとどちらも交通安全ルールには違反していますが摘発をしていないだけなのです。つまり、その場の状況にあわせて、皆さんは「審判」をしているわけです。

同じことが、日常業務における情報セキュリティでも言えます。つまり、ある違反行為があった場合に上司や同僚(場合によっては違反した人自身)がそれを注意する、という形です。これが出来るのであれば、組織に属している人全てが「審判」として活動するということになります。

ただし、この最後の方法は非常に重要であるのですが、非常に難しい部分でもあるのです。というのは、「審判」に必要な知識を継続的に習得させなくてはいけない、「審判」の判定が甘いとスカスカになる、自分自身に甘くなりがち、という部分を「審判」となる人に超えさせる必要があるのです。

しかしながら、日常業務における情報セキュリティの向上を狙うのであれば、この現場の人間による「審判」を真剣に考えるべきだと思うのです。


情報セキュリティは専門家だけのものではない

 

上に交通安全のルールを出しましたが、現在の日本において交通安全は国民全員が関与している状況にあるといってよいかと思います(赤ん坊とかは別ですが)。

同じように、情報セキュリティも組織内の専門家・一部門のものではなく、組織全体で維持しているという状況になるのが、本来の姿だと個人的には思っています。


 

Topics: コラム

Written by GRCS

コラム一覧