★☆★JNSAメールマガジン 第132号 2018.3.9 ☆★☆

こんにちは
JNSAメールマガジン 第132号 をお届けします。

JNSA主催で「サイバーセキュリティ小説コンテスト」を行います!
Web小説サイト「カクヨム」上で開催されるサイバーセキュリティをテーマとした小説コンテストです。サイバーセキュリティを題材とした小説であれば、SF、リアル、ラブコメ、バトル、異世界、童話、そのジャンルに制限を設けず、国内在住の個人であればどなたでも参加可能です。

大賞受賞作品には賞金100万円と「角川スニーカー文庫」よりの書籍化を確約。
他にもスポンサー賞を設けます。
コンテスト詳細については、こちらのカクヨム特設サイトをご覧下さい。
https://kakuyomu.jp/contests/cyber_security

さて今回のメールマガジンは、株式会社Preferred Networks の高橋 正和氏に「原則と現状のはざまで」をご寄稿いただきました。

【連載リレーコラム】
原則と現状のはざまで

株式会社Preferred Networks CISO, セキュリティアーキテクト
高橋 正和

私が強く印象に残っている発言に、「IT・セキュリティ部門は提案を止めるだけなので、提案の際には、IT部門やセキュリティ部門ではなく、事業部門に提案をすべき」というものがある。衝撃的な話ではあるが、企業等の組織において、IT部門やセキュリティ部門が邪魔になっている。
本稿では、この要因と考える、IT・セキュリティに関わる原則(ポリシーやガイドライン等)の現状との乖離について取り上げたい。

これまで、20年近くベンダー側の立場でセキュリティに関わってきたが、昨年10月からユーザー企業のセキュリティ担当として働き始めている。働き始めてみると、大小のセキュリティ課題が常に存在し、セキュリティ担当は、会計担当、法務等と同様に必要不可欠な専門職であると強く感じている。
日々、多様な判断が求められるが、十分な知見が得られないまま判断せざる得ない場合も少なくない。適切にセキュリティ業務を行うための原則の重要性を認識する一方で、原則と現状の乖離が深刻な阻害要因になることも実感している。

原則と現状の乖離の要因として、PDCAが「Plan通りにDoが行われていることをCheckし、必要なActを行う」として運用され、Planのチェックを行わない状況がある。このため、優れた新たな施策があっても、これまでの原則に従い採用を見送ることで、原則と現状の乖離が生じていく。原則の劣化を防ぐためには、CIA(Confidentiality, Integrity, Availability)に基づいたリスク分析では不十分で、事業リスクに基づいた「新たな施策を採用しない(事業)リスク」についても分析する必要がある。

新たな施策の代表的な例としてクラウドサービスがある。ベンダー側の立場でクラウドファーストという言葉を使ってきたが、市場は明らかにクラウドファーストになっており、新たなクラウドサービス利用の相談を頻繁に受けている。その際に、セキュリティ対策状況分析を代理店に頼りたくなるが、日本に代理店が無い場合や代理店経由では適切な回答が得られない事があり、何よりも、代理店に頼っていては、すぐに使い始めたいという社内の要求に応えることができない。結局のところ、自分でWebや試用版を使って確認し判断することが求められる。ITシステムがクラウド化したことで、ベンダー、代理店やSIer、ユーザー(企業)の責任分界点が変化し、特にユーザーに求められるスキルが変わっている。この変化を見落とすことが原則と現状の乖離の要因となっている。

原則と現状の乖離の問題については、ふたつの取り組みを行っている。ひとつは、JNSA CISO支援ワーキンググループの活動である。活動をはじめて既に2年が経過してしまったが、本年度中(2018年3月)のドキュメント公開を目指して作業を進めている。
合わせてJSSM(日本セキュリティマネジメント学会)の、学術講演会や公開討論会でこのテーマを取り上げ、有識者の意見を伺い議論を進めており、3月17日に開催する公開討論会でも、このテーマを取り上げていく。

第12回 JSSMセキュリティ公開討論会のお知らせ
http://www.jssm.net/wp/?page_id=2880

近年求められる情報セキュリティは、ITや経営と密接な関係にあり、その背景には、IT環境の大きな変革がある。しかし、セキュリティ対策は10〜20年前のIT環境が前提であることも少なくない。
現在の経営やITに沿ったセキュリティ対策を提案し実践していくことが必要だと感じている。

#連載リレーコラム、ここまで

<お断り>
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【部会・WG便り】
★PKI相互運用技術WG・電子署名WG主催セミナー「PKI Day 2018」の参加受付を開始しました。
「超スマート社会(Society 5.0)におけるトラストのあり方」をテーマに、今後の社会において暗号技術/公開鍵暗号技術/PKIが果たすべき役割を議論します。

 日 時:2018年4月17日(火)10時00分-17時40分
 会 場:ヒューリックカンファレンス ROOM 1 
 主 催:PKI相互運用技術WG・電子署名WG
 【詳細はこちら↓】
 http://www.jnsa.org/seminar/pki-day/2018/index.html

★JNSA西日本支部主催「NSF 2018 in Kansai」の参加受付を開始しました。
「躍らされない組織になるためには」をテーマに、サイバー攻撃について考える機会を提供し、情報セキュリティ対策に関心を持って頂くための講演を行います。
 
 日 時:2018年3月16日(金)13:00-16:30
 会 場:TKPガーデンシティ東梅田 バンケット5A
 主 催:西日本支部
 【詳細はこちら↓】
 http://www.jnsa.org/seminar/nsf/2018kansai/

 

【事務局からの連絡、お知らせ】
★2月1日にニコファーレ開催された「サイバーセキュリティ月間」
 キックオフサミットの模様がYouTube「NISCサイバーセキュリティ
 意識啓発動画ポータル」で公開されました。
 https://www.youtube.com/watch?v=fkgApZpzy_Q
 ※3月18日までの限定公開となります。ぜひご覧ください。

★2017年度年会費ご請求書とJNSA会員登録情報確認票を次週より順次
 会員企業各社のご連絡担当者様にお送りさせていただきます。
 ご登録情報に変更がありましたら、事務局までご連絡をお願いします。

★サイバーインシデント緊急対応企業一覧を公開しています。
 http://www.jnsa.org/emergency_response/
 緊急対応可能な窓口をお持ちの会員企業様は、
 JNSA事務局までお問合せ下さい。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン 第132号
発信日:2018年3月9日
発 行:JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.