- 1.セキュリティ対策のあるべき姿のWEST-SEC
- 2.参加者へのアンケート
- 3.企業におけるセキュリティ対策の全体像
- 4.企業におけるセキュリティ対策の悩み
- 5.セキュリティ対策の難しさ
1.セキュリティ対策のあるべき姿のWEST-SEC
セキュリティ対策のあるべき姿を業界の有識者に語ってもらいます。
https://west-sec.connpass.com/event/366045/
■イベント概要
セキュリティ対策は、やるべきことがたくさんあり、ちょっとした小さなミスが大事故につながります。ですが、セキュリティと業務はトレードオフ。セキュリティ対策を完璧にやろうとしたら、業務がまともにまわりません。また、攻撃は多様化、高度化し、防ぐのは簡単ではありません。
どうやってセキュリティ対策を進めていくのか、業界の有識者5~6人くらいに、それぞれ20分くらいずつ語っていただきたいと思います。
■テーマ例
・全部は無理。でも、どこまでやる? 企業のセキュリティ対策の優先順位
山ほどあるセキュリティ対策。それに対してどう向き合えばいい?全部をやることなんて無理でしょ。
・絶対にやるべきセキュリティ対策
1つじゃなく、5つで6つでも、これだけはやった方がいい内容
・企業のセキュリティ対策、よくある失敗例とその改善策
→それを改善しましょう。 たとえば、リスクゼロを追い求める(求めていないとは言って、実際にオペレーションになると求めている)
・セキュリティはリーダー次第!組織のトップが持つべきマインドとは
→セキュリティ対策における組織のリーダーのマインドの醸成はどう進める?また、組織のリーダは、セキュリティ対策に対してどういう心構えで向き合えばいい?
・セキュリティ対策を進める際に、最初にやるべきことは何?
・ゼロトラスト、どこまで進める? 境界防御は本当に終わったのか
・クラウド活用は正解か?ガバクラの仕組みはセキュリティ対策として有効?セキュリティとクラウドのリアル
・社員のセキュリティ意識をどう高める? 現場が動く啓発のコツ
・リスクはどこまで受け入れる?説明責任とリスク受容の線引き
リスク受容の方針って、対外的にどう説明するの?1件の個人情報なら漏えいしていいの?
・業務委託先とセキュリティ。どこまで求める?どう管理する?
・SOCサービスは本当に役立つのか?効果的な使い方と注意点
・セキュリティ人材がいなくても、組織は守れるのか?
・チェックシートに頼らない、実効性があるセキュリティ対策
・そもそも、セキュリティ対策の目的とは?
→ここが原点であり、ここを間違えると、やみくもな投資になる可能性もある。
などなど
2.参加者へのアンケート
2.1 実施したアンケート
以下のフォームから8つの質問をしました。174人の方に回答をいただきました。ありがとうございます。
https://forms.gle/4akAdApFEfy5KUJf8
2.2 アンケート結果
Q1.ご自身の立場について
Q2. あなたの会社のセキュリティ対策レベルを10段階で自己評価してください
最頻値は7で、平均は6.26でした。なかなかの高評価のような気がします。
Q3. あなたの会社のセキュリティ対策において、何が不足していると思いますか?(複数選択可)
多いものから、「人材」、「セキュリティ対策の意識」「情報や知識(ノウハウ)」、「予算」、「セキュリティ対策の体制」、でした。
Q3-2.差し支えなければ、具体的に教えてください。
🧩 1. 人材・教育の課題 ・セキュリティ人材が圧倒的に不足している(専任がいない、1名のみなど) ・育成施策がなく、社内で人を育てる仕組みがない ・IT人材が若手中心で、経験者が少ない ・教育やトレーニングが不十分(リテラシー教育・避難訓練・有事対応訓練の欠如) ・外部専門家に頼る予算も不足 ・社員の情報リテラシーが低く、フィッシングやサポート詐欺に引っかかる 👉 総評:人材不足 × 教育不足 × 若年化・高齢化の両極問題。継続的な育成投資が行われていない。 🧱 2. 組織体制・ガバナンスの課題 ・組織が大きく、部門間で意識にばらつきがある ・セキュリティ部門の統一ガバナンスが効かない ・情報システム部門にセキュリティ専門人材がいない ・セキュリティ部署が現場と分断され、“うるさい存在”と見られている ・CSIRTが報告受付レベルで、対応まで手が回っていない ・指針・ルールが現場任せ、あるいは形骸化している 👉 総評:組織内に“セキュリティを統括・推進する核”が存在しない。ガバナンスの断絶が構造的問題。 💰 3. 経営層・マネジメントの問題 ・経営層・管理職の危機意識が低い ・セキュリティの重要性を理解する上層部がいない ・「感染したことがないから大丈夫」といった慢心がある ・セキュリティ投資よりオフィスリフォームが優先される ・年収設定が低く、専門人材を採用できない 👉 総評:経営層の理解不足・優先順位の低さが最大のボトルネック。 ⚙️ 4. 運用・技術的な課題 ・古い審査フロー・レガシーな構成でスピードが出ない ・セキュリティパッチを適用しない ・USB禁止なのに抜け道があるなど、運用の抜け漏れ ・ログ監視・バックアップ・クラウド設定確認が不十分 ・内部監査をしていない ・ゼロトラストやSASEなどの新技術に対応できる人材がいない 👉 総評:技術よりも運用・メンテナンス面の怠慢が深刻。属人的・場当たり的対応に依存。 🧠 5. 意識・文化の問題 ・社員のリテラシー・意識が低い ・「社員を信用している」で対策を怠る ・現場が「面倒」と感じ、抜け道を使う ・セキュリティを担う人が評価されない・押し付け合い ・「やったことがない」「感染してないから大丈夫」的な文化 👉 総評:意識改革が進まず、文化的にセキュリティが軽視される風土。
Q4.あなたの会社(または組織)のセキュリティ対策で、無駄だと思うことを具体的に教えてください。
| 順位 | 内容(カテゴリ) | 回答数 | 代表的なコメント例 |
|---|---|---|---|
| 🥇1位 | PPAP(ZIP暗号化+パス別送信)・定期的なパスワード変更 | 10件 | 「PPAP、パスワード定期変更」「暗号化して同じ宛先に送信」「パスワード変更で逆に弱くなる」など |
| 🥈2位 | 過剰・形式的なセキュリティ(チェックリスト・唱和・形式遵守) | 8件 | 「朝礼での唱和」「重厚長大なチェックシート」「セキュリティ審査票」など |
| 🥉3位 | 教育・訓練の形骸化 | 7件 | 「標的型メール訓練で晒し上げ」「ドクロマーク訓練」「形だけの教育」「催促だけして中身なし」など |
| 4位 | パスワード運用・多重管理の煩雑さ | 6件 | 「パスワードを何度も変更」「年度付きで弱くなる」「複数システムで統一されていない」など |
| 5位 | 管理部門・監督官庁向けだけの対策(形だけのISMS/Pマーク) | 5件 | 「監督官庁だけ意識」「PマークやISMSが目的化」「規格準拠がゴールになっている」など |
| 6位 | 過剰なネットワーク・アクセス制限 | 5件 | 「多層踏み台」「VPN制限」「クラウド利用禁止」「ブログ閲覧不可」など |
| 7位 | 重複したシステム・SaaS・ソリューション導入 | 4件 | 「同じ機能のソリューション重複」「SaaS乱立」「導入して終わり」など |
| 8位 | USBメモリ/物理運用ルールの煩雑さ | 4件 | 「貸出USBシステム」「USB禁止で業務が止まる」「許可手続きが面倒」など |
| 9位 | オンプレミス固執/時代遅れのルール | 3件 | 「オンプレにこだわる」「古い棚卸ルール」「旧来の運用」など |
| 10位 | 社内連携・情報共有の阻害 | 3件 | 「情報共有を嫌う文化」「部門ごとにSaaSバラバラ」「縦割り」など |
| 11位 | 意味不明な運用/対応不明確なサポート | 3件 | 「サポートに聞いても答えがない」「犯人探しで終わる」「説明がない」など |
| 12位 | SOC/常駐監視・SIEMの効果が見えない | 2件 | 「常駐SOC」「SIEMの効果が不明」など |
| 13位 | VPN・出社強制・物理ルール過多 | 2件 | 「VPNできずテザリング支給」「物理的出社が必要」など |
| 14位 | その他(申請手続き冗長・教育体制不足など) | 10件弱 | 「申請が面倒」「教育が整っていない」「ノウハウ継承できていない」など |
| - | 特になし/無駄なしと回答 | 約8件 | 「特にない」「無駄はない」「無駄をやる余裕がない」など |
・上記の内容を、カテゴリで分類してもらいました。※AIはすごい!
| カテゴリ | 主な内容 | 回答数 | 傾向 |
|---|---|---|---|
| 技術的対策の形骸化 | PPAP、定期パス変更、USB制限など | 約20件 | 古い慣習的ルールが残存 |
| 組織的・形式的対策の形骸化 | チェックリスト・唱和・監査重視 | 約15件 | 「目的化」「実効性がない」 |
| 教育・意識向上施策の形骸化 | 曝し上げ訓練・形式教育 | 約10件 | 実効性よりパフォーマンス重視 |
| 技術運用の非効率 | 多重ソリューション・VPN制限・SaaS乱立 | 約10件 | IT部門の設計・運用コスト増 |
| 組織文化・マインド | 情報共有を嫌う、経営層理解不足 | 少数だが根深い | 組織構造に起因 |
Q5.あなたの会社のセキュリティ対策は、どちらに近いと思いますか?
Q6.攻撃者は、あなたの会社を狙ってくると思いますか?
3.企業におけるセキュリティ対策の全体像
| Q.某国の大企業が、日本法人を作ることになりました。非常に大きな企業で、社員数は1万人程度が想定されます。あなたは、その日本法人のCISO(Chief Information Security Officer:最高情報セキュリティ責任者)に任命されました。さて、あなたはCISOとして、どんな対策を進めますか? |
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
3.1 全体像
・企業が実施しているセキュリティ対策の全体像はおおむね以下になります。PDCAを回しているとも言えるでしょう。
・各対策の詳細に関しては、後述します。
❶ポリシー/ルール策定 →Plan
| 項目 | 具体的な内容 |
|---|---|
| 情報セキュリティ基本方針の策定 | セキュリティポリシーとしてドキュメント化 |
| 社内規程・手順書の整備 | セキュリティポリシーに基づく具体的な規定や手順の整備。かなり大量の文書になる |
| 体制構築と責任の明確化 | CISOやセキュリティ委員会、CSIRTを設置し、役割分担を明確化 |
| 情報資産の特定・リスクアセスメント | 情報資産を洗い出し、重要度を分類。脅威・影響度を分析して優先度を付け、対策計画を立案。 |
❷対策の実施(技術的・物理的対策) →Do
| 項目 | 具体的な内容 |
|---|---|
| 物理セキュリティ対策 | 入退室管理、監視カメラ、データセンターにおける電源冗長化などの可用性確保 |
| ネットワークセキュリティ | ネットワーク分割、ファイアウォール、プロキシ、DMZで多層防御を実施。 |
| エンドポイント対策 | アンチウイルス、EDR、MDMで端末を防御。リモートワイプ等で紛失時の情報漏えいを防止。 |
| 認証・アクセス制御 | 最小権限、定期的な権限見直し、MFA導入。管理者アカウントは利用履歴監査を実施。 |
| データ暗号化 | 端末やサーバーの暗号化、通信経路のTLS/VPN化。クラウドやテレワークでも安全確保。 |
❸運用業務 →Check/Action
| 項目 | 具体的な内容 |
|---|---|
| 人材教育・訓練 | 定期的な教育(人的セキュリティ対策)およびインシデント対応訓練 |
| 監視 | SIEMなどでログを集中管理・分析。不審な挙動を早期検知。 |
| インシデント対応 | インシデントの封じ込めおよび事後対応 |
| 脆弱性管理 | 脆弱性情報の取集と対策の実施 |
| セキュリティ監査 | 定期的な点検・監査を行いPDCAで継続改善 |
| セキュリティ診断 | ツール等を使ってセキュリティ対策状況を確認 |
・NCO(旧NISC)の資料にて、NCOにおけるセキュリティ対策の役割が記載されている。具体的には、a)共通ルール作成、b)監査・監視、c)教育・訓練、である
・NCOは実際にシステムをもっているわけではなく、実際にシステムを持っている各省庁などでは、上記の❶~❸を全て実施することになる。
3.2 ポリシー/ルール策定
❶情報セキュリティ基本方針の策定
・政府の場合は、統一基準を定めています。
・政府機関統一基準の策定目的は、こちら
❷体制構築と責任の明確化
・組織体制の例です。
・情報セキュリティ委員会は、CISO(Chief Information Security Officer)と呼ばれる情報セキュリティ管理責任者を委員長として、営業部、製造部、情報システム部、総務部などのセキュリティ責任者が参加します。委員会では、セキュリティのルールやセキュリティ対策の実施、インシデント対応の体制などを議論し、意思決定をします。
・CSIRT(Computer Security Incident Response Team)は、「シーサート」と呼ばれます。フルスペルを見るとわかるように、コンピュータセキュリティのインシデ
ント対応チームです。
❸情報資産の特定・リスクアセスメント
・セキュリティ対策ではこれが非常に重要です。アセスメントをせずにすべてを守ろうとすると、無駄や重複投資になったり、現実離れしたセキュリティ対策になりがちで、セキュリティ対策の迷子になる可能性があります。
・ここに、「政府情報システムにおける セキュリティリスク分析ガイドライン」(デジタル庁)の資料のリンクを掲載しています。
3.3 物理的セキュリティ対策
・物理的対策については、「図4-7 原子力施設における核物質防護措置の例」(原子力規制委員会「令和元年度年次報告」(2020年))も参考になります。https://www.aec.go.jp/kettei/hakusho/2020/html/4-2.html
3.4 技術的セキュリティ対策の全体像
企業向けのPCに対するセキュリティ対策の例です。あくまでも一例です。
(1)PC(エンドポイント)のセキュリティ対策
| 区分 | 具体的な対策例 | 補足説明 |
|---|---|---|
| 認証 | - OSログオン時のID/パスワード認証 - 多要素認証(MFA) - シングルサインオン(SSO) |
社員の不正利用・なりすまし防止 |
| 端末暗号化 | - BitLocker(Windows) - FileVault(macOS) |
紛失・盗難時のデータ漏えい防止 |
| バックアップ | - OneDriveなどへの自動バックアップ - オフライン・外部ストレージへの定期バックアップ |
ランサムウェアや機器故障に備える |
| リモートワイプ | - IntuneやM365のデバイスワイプ機能 | 紛失・盗難時に遠隔でデータ消去 |
| ウイルス対策 | - Microsoft Defender Antivirus - 商用AV製品 |
既知マルウェア・スパイウェア検出 |
| EDR(Endpoint Detection & Response) | - Microsoft Defender for Endpoint - CrowdStrike Falcon |
振る舞い検知や侵入後の封じ込め |
| OSのUpdate | - OS・アプリの自動アップデート | セキュリティホールの早期修正 |
| デバイス制御 | - USBポート等のデバイス制御 | データ持ち出しの防止 |
| 管理者権限の制限 | - 日常業務では一般ユーザー権限を使用 | マルウェア感染のリスク低減 |
| ログの取得 | - OSイベントログ収集 | インシデント発生時の分析 |
(2)ネットワークセキュリティ対策
・政府の方針では、ゼロトラストセキュリティの考え方で進めているようです。こちらはデジタル庁の「国・地方ネットワークの将来像及び実現シナリオに関する検討会」の資料で
・また、政府のネットワークはGSSというセキュアなネットワークが構築されています。詳しくはこちら。
| 区分 | 具体的な対策例 | 補足説明 |
|---|---|---|
| ファイアウォール | - 次世代ファイアウォール(NGFW)の導入 - アプリケーションレベルでのアクセス制御 |
不正アクセスや不要な通信を遮断 |
| 侵入検知・防御(IDS/IPS) | - ネットワーク型IDS/IPSの設置 - サンドボックス型脅威分析 |
不審な通信や攻撃を検知・遮断 |
| ネットワーク分離 | - 社内LANとインターネット接続系の分離 - ゼロトラストネットワーク構成 |
感染拡大や情報漏えいを防止 |
| VPN(仮想専用線) | - SSL-VPN / IPsec-VPNの利用 - 多要素認証と組み合わせ |
安全なリモートアクセスを実現 |
| アクセス制御(NAC) | - IEEE 802.1X認証 - MACアドレス認証 |
許可された端末のみ接続を許可 |
| 暗号化通信 | - TLS 1.2/1.3の利用 - HTTPS、SMTPS、IPsecなど |
通信経路での盗聴・改ざん防止 |
| Webフィルタリング | - URLフィルタリング - カテゴリ別アクセス制御 |
危険サイトや業務外サイトへのアクセス制限 |
| メールセキュリティ | - スパムフィルタ - DKIM/SPF/DMARCの実装 |
フィッシングやなりすまし防止 |
| DNSセキュリティ | - DNSフィルタリング | マルウェア配布サイトや偽サイトへの接続防止 |
| ログ・監視 | - ネットワーク機器ログの集中管理(SIEM連携) - 帯域利用状況の監視 |
攻撃や不正利用の早期発見 |
| 無線LANセキュリティ | - WPA3の利用による暗号と認証 | 無線経由の侵入防止 |
(3)サーバおよびシステムのセキュリティ対策
・政府は、クラウドを活用することを軸にしているようです。
・そのために、ガバメントクラウドを整備しています。ここも参照
・ISMAPの制度を整備。くわしくはこちら。
・実際にどういうセキュリティ対策を実施するかは、政府の統一基準の具体例をみてもらうといいと思います。
3.5 運用業務
(1)監視
・MAFFクラウドCoE(CoE:センターオブエクセレンス)は、システムのクラウド移行や運用を支援している。詳細はこちら。
・SIEMを活用することも多いだろう。Splunkの概要および設定に関してはこちら。
(2)インシデント対応
・インシデント対応の目的は早期の封じ込めであり、根本解決ではありません。時間的な制約が大きく、対応次第で、被害を最小限に食い止められる場合もあれば、大きく広がる場合もあります。
・インシデント対応に関してはこちら。
(3)脆弱性管理
・脆弱性管理は、❶情報資産の管理→❷脆弱性情報の収集→❸リスク評価→(❹脆弱性情報の配信)→❺脆弱性への対処、の流れで実施されます。
・脆弱性管理についての詳細はこちら。
(4)セキュリティ監査
・情報セキュリティ監査に関しては、こちら。
(5)セキュリティ診断
・セキュリティ診断に関しては、こちら。
・最近では、ASMなどの言葉も注目されている。
3.6 3つのディフェンスライン
・以下を参照ください。
https://www.pwc.com/jp/ja/knowledge/column/viewpoint/grc-column001.html
・定義はあいまいな気がしますが、1線は現場だと思っていまして、リスクオーナー(=リスクの対する責任を負う)という点でしょうか。3線は明確で、監査部門です。
・じゃあ、よくある現場のシステム主管と、情報システム部があって、情報システム部は1線、2線のどちらになるのでしょうか。もちろん組織によって違うのですが、情報システム部でガバナンス担当が2線で、それ以外は1線と考えていいのではないでしょうか。
4.企業におけるセキュリティ対策の悩み
以下は、「サイバーセキュリティ人材の育成促進に向けた検討会最終取りまとめ(2025年5月、経済産業省)」(https://www.meti.go.jp/press/2025/05/20250514002/20250514002-2.pdf)からの抜粋です。
5.セキュリティ対策の難しさ
5.1 セキュリティの特性
(1) 攻撃者は常に一歩先を行く
・攻撃手法は日々進化し、防御側の対策は常に後手になりがち。
・脆弱性の発見やゼロデイ攻撃など、予測不能な脅威が存在。
・防御は網羅的でなければ意味がないが、攻撃は一点突破で十分という非対称性。
(2)トレードオフというジレンマ
・強固なセキュリティ対策は、ユーザーの利便性や業務効率を下げる。
・すべてのリスクに対応しようとすると業務が回らなくなる。
・現実的なリスク評価と優先順位付けが求められるが、それ自体が難しい。
(3) 小さな穴が致命的になる:桶の理論
・セキュリティは最も弱い部分に引きずられる。
・すべての穴をふさがない限り、全体として破られるリスクがある。
5.2 企業における体制構築の難しさ
(1) 知識・専門性が求められる分野
・セキュリティは高度な専門知識が必要な分野であり、一般的なITスキルでは不十分。
・ネットワーク、サーバ、アプリケーション、クラウド、物理セキュリティ、組織マネジメントなど、幅広い知識が必要
・脅威情報、法令、脆弱性管理、認証・暗号など、多岐にわたる知識が必要。
(2) 人材・体制・予算に限界がある
・セキュリティ対策は「利益を生まないコスト」として見られがち。
・経営層の理解が不十分な場合、稼働も予算も割かれにくい。
・有能な人材は市場で取り合いになっており、採用・育成も困難。
5.3 セキュリティの現場での困難性
(1)人的ミスは避けられない
・セキュリティインシデントの多くは人為的なミス(設定ミス、誤送信、誤操作)に起因。
・人間は必ず間違える。ゼロにすることは不可能。
・教育や啓発活動を繰り返しても、効果が一時的であることが多い。
(2) 形式主義に陥るチェックシート文化
・ベースライン型のアプローチ(チェックリスト方式)は、形骸化しやすい。
・「×」をつけても直せと言われるだけなので、現場はすべて「〇」をつけるだけになる。
・作成側は、ときに、責任回避を優先し、現実離れした網羅性を求めがち。(細かいところもすべて守らせようとする)
(3)外注せざるを得ない現実
セキュリティ対策を外注していては、絶対にダメであり、GoogleでもMicrosoftでもセキュリティが強い会社は自分たちでやっている。
しかし、しかしである。セキュリティ対策という肝の部分を、体制面や技術面などから、多くの企業は外注せざるを得ないという実情がある。たとえば、大規模システムの開発にもなると、ベンダ無しではできなかったりする。
すると、大きな権限をベンダに渡したり、運用は派遣社員が管理者権限を持ってやっていたりする。これがリスクになる。
(4)ミッションインポッシブルな課題を現場に課す
・セキュリティ対策はガチガチに縛る一方、業績拡大を要求する。
・できもしないセキュリティ対策を要求する(膨大なチェックシートや、ちょっとのミスも許さない運用、脆弱性が発見した場合の即時対応などなど)。
→これでは現場は疲弊するし、抜け道を探すようになる。
5.4 マインドの面
(1)リスク保有という選択肢が取れない
セキュリティ対策には、リスク低減、リスク移転、リスク回避以外に、リスク保有という選択肢があります。
リスク保有というのは、小さいリスクはリスクを保有する、つまり許容してしまうのです。
たとえば、DDoS攻撃ですが、完全には守れないので、起こった場合は、攻撃が終わるまで「待つ」という選択肢です。
それ以外にも、添付ファイルのメール誤送信は大規模漏洩につながる可能性があるので対策を打つが、添付ファイルがないメール誤送信は、対策にも限界があるので、リスクを保有するのです。
というか、どの企業でも、実際には細かい漏えいは起こっているので、防げていません。
ただ、多くの会社は表向きは「リスク保有」という選択肢を取れないと思います。・・・・(2)に続く
(2)1件の顧客情報も許されない
経営層の方は、「1件の顧客情報もさせない」と社外にはメッセージを出されると思いますが、企業として当然の考えだと思っています。「社外に対して、数件の情報漏えいは仕方がないと思っている。だから、優先度が高いところだけをやっています」なんてことは言えるわけがありません。実際、経営層の人は、心の底から、「1件たりとも情報漏えいしない」と思われていることでしょう。
私もそう思っています。
ただ、現実的にそれができるのかというのが一つ。それと、「全てを守ろうとする者は、なにひとつ守ることはできない」という言葉がセキュリティに当てはまるかわかりませんが、「1件たりとも情報漏えいしない」という方針が、セキュリティ対策としては近視眼的になり、結果的に社員が抜け道を探したり都合の悪いことを隠したり、形だけの対策になったり、大きな情報漏えいに気が付かないなどのデメリットにつながる可能性はないか、という面もある気がします。どの会社も顧客情報を使って仕事をしていますし、セキュリティ対策にかけられる稼働やコストに限界があるのです。無限にあればいいですし、運用が回ればいいです。でも、そんなことは本当にできるのか、疑問がぬぐえません。実際、メールの誤送信や資料やカバンの置き忘れなど、完全にゼロにしている会社はないように思えます。・・・・(3)に続く
(3)リスクベースアプローチが難しい
企業の経営判断の視点で考えると、最優先すべきは、「大規模情報漏えいを防ぐこと」になると思います。
ですが、「1件の情報漏えいと1万件の情報漏えいで重みが違うのか?どっちも許されることはじゃない。どっちもやるべきだ」という意見に、論理的に反論するのは非常に難しいと思います。
どの企業も、「1件の情報漏えいをしていい」とは全く思っていません。でも、同時に「大規模情報というのは被害にあう方も多い。そうならないようにするべき。だから、大規模情報漏えいを防ぐことこそ優先」と思っても、そういうオペレーションをするのは現実的にはできないのではないでしょうか。
(4)セキュリティインシデントの責任を取りたくない
多くの場合、情報システム部や総務部などがセキュリティ対策の指針を出し、それを現場の社員やシステム主管の部署が守るという体制になっていると思います。ですが、セキュリティインシデントの責任を、誰も取りたがりません。
そうなると、情報システム部や総務部などは、厳しいセキュリティ対策を現場に求めます。ときに、過剰な対策を求め、実際には現場は守っていないことが通常化していたりします。
5.5 セキュリティ対策のグランドデザイン
(1)ゼロトラストセキュリティをどこまで採用すべきか
古くからある境界型防御を今でも多くの企業が採用、またはゼロトラストセキュリティと併用しているが、ゼロトラストセキュリティ
の考え方が果たして正解なのか。また、ゼロトラストセキュリティにすると一つ一つのPCにライセンスが必要な形態が多く、非常にコストがかかる。ゼロトラストセキュリティにしないとセキュリティ対策が守れないのか。
(2)クラウドにデータを預けるのは安全か
利用者側の設定ミスやアカウント情報の漏えいにより、些細なミスが大規模漏洩につながるリスクもある。オンプレの方がセキュリティが高いとも言えるのではないか。
(3)クラウドを活用した方がセキュリティレベルが上がるのか
クラウドは、クラウド事業者が最新のセキュリティ対策を迅速に行い、監視も常に行われるため、オンプレミス環境より高いセキュリティ水準を実現できる場合がある。しかし、セキュリティレベルはクラウド事業者に依存する気がする。
(4)セキュリティ対策の全体マップ
企業の特性ごとに、セキュリティ対策をどのように設計すればいいのか。企業における具体的なセキュリティ対策の全体像を描くのは難しい。これは、技術面や知識面で不足していることもあるだろうが、全体像を描ける人は非常に少ない可能性がある。
参考となるのは政府の対策であると思うが、基本的には公開されていない。
