【連載】勘違いセキュリティ（あなたの理解は大丈夫？）

プロローグ

近年、企業・組織におけるセキュリティ対策への関心は急速に高まっている。個人情報漏えいに伴う損害賠償及びレピュテーション（信用）低下、また、営業秘密漏えいに伴う競争力低下やシステムダウンによる生産・販売活動の停滞等、セキュリティ棄損に起因する影響は大きな脅威だ。加えて、新たな脅威として、組織脅迫型のコンピュータウイルス（ランサムウェア）、国家規模の集団による組織的なハッキング、さらには消費者向けの製品に対する不正アクセスや機能乗っ取り等、日進月歩で新たなセキュリティ脅威も登場してきている。そして、業界を問わず、各組織の経営トップの関心も年々高まりを見せており、それに呼応するように、当社に寄せられるセキュリティ関連の相談・依頼は急速に増加している。

ただし、その反面、クライアントとのコミュニケーションにおいて、基本的なセキュリティの考え方が「誤解」されている、または、「認識不足」と感じることもある。その結果、双方の会話ですれ違いやギャップが生じ、提案活動やプロジェクト支援が進む過程で障壁となる局面もある。現時点において、一部では、セキュリティに関する本質的な理解は広くかつ正しく浸透していないと実感している状況である。

以上を踏まえて、本稿では、実際にどういった誤解／認識不足が起こりやすいのか、以下の特徴を踏まえたストーリー展開で取り上げると共に、本来あるべき正しい取組みのイメージを掴んでいただくことに主眼を置くものとする。

【特徴①】 特定のテーマ・題目ごとの連載回（読みやすい一話完結型）

【特徴②】 教科書的な解説中心ではなく、実例を用いたケーススタディ形式

【特徴③】 BEFORE／AFTERによる対比で、勘違いのポイントと正しい姿を強調

さらに、本稿においては、セキュリティ関連の取組みテーマの中でも、実際に我々が経験した活動の中からピックアップした主要なものに焦点を当てた考察を行っている。

連載テーマ

1. 管理系

• 看過できないサプライチェーンのセキュリティリスク
• 個人利用は野放しでOK？ソーシャルメディアポリシーのあるべき姿
• ITと製品でこんなに違う！製品に求められるSIRT活動の勘所
• 規程類はなぜ重要なのか？　～単なる“読み物／紙っぺら”ではない、その意義を読み解く～
• 安全神話の崩壊！　～甚大な被害をもたらす制御システムへのサイバー攻撃～
• 品質確保の意外な盲点！？　～オープンな時代のソフトウェア解析とは？～
• 本当にもう脆弱性はない？　～ハッカーの力を借りるバグバウンティとは？～
• CSIRTに求められる2つの視点！　～技術に偏りすぎ？見落としがちなもう1つの視点とは？エコシステムなインシデント対応組織の実現！～
• そのバックアップで本当に大丈夫！？  ～失敗事例から紐解く、バックアップ時に忘れてはならない”あの”観点～

2. 技術系

• ベンダー任せにしていない？検知システム活用のキホン
• 本当にそれで十分？つながる時代のセキュリティテストとは！？
• 必要なのはインフォメーション？インテリジェンス？
• “足元”セキュリティは大丈夫？　～無線LANと有線LANのセキュリティ～
•  脆弱性対策は“いたちごっこ”！どのように対処すべきか？
• そのソリューションの導入は何のため？～「できる」「できない」、ネットワークの監視を一例とした、適切なソリューションの見極め力 ～

上記の通り、より組織・人的な運用の側面が強い「管理系」のエピソードと、より製品・ツール等のソリューションの側面が強い「技術系」のエピソードの2つに大別される内容をシリーズで紹介する。

最後に、本稿を通じて、世の中におけるセキュリティ関連の活動に関わる人々が、より充実したものとなるように寄与することが我々の切なる願いであり、セキュリティ管理に悩み考える多くの担当者にとっての気付きとなることを期待したい。