情報システム部門が一手にセキュリティを担う時代ではない

──

今まさに被害が拡大する標的型攻撃やランサムウェアなどのサイバー攻撃に対し、企業はどのような姿勢で防御に臨むべきでしょうか。

岡田

重ねて申し上げたいのは、セキュリティは企業にとってビジネスの“イネーブラー（Enabler）”だということです。そうした観点では、セキュリティの強化は経営課題であり、もはや情報システム部門のタスクとして委ねておける問題ではなく、ビジネスの生死にかかわることであり、役員会の主要な関心事に位置づけられるということを理解する必要があるでしょう。

私が理事を務めるWASForum（Web Application Security Forum）^※1では、毎年「ハードニング・プロジェクト（Hardening Project）」というセキュリティ競技会を実施しています。ここでは、仮想のネットワーク環境に置いた脆弱性のあるECサイトに総合的なハードニング（堅牢化）をチーム対抗で競うという競技を実施しています。参加するチームはサービスについてしかるべき危機管理とビジネス運用を行う体制を敷き、攻撃によるインシデントに対応しながら、脆弱性を修正し、顧客とのコミュニケーションや行政との連携も行いながらビジネスを強化していくことが求められます。

この取り組みは、ビジネスを守る実践的なセキュリティ技術の研鑽とそれを担う人材の顕彰を推進することを目指しています。これまで産官学の幅広い方々に参加いただいてきました。最近では、例えば企業の法務やマーケティングといった領域の担当者など、技術者以外の方々が参加されるケースも増えてきています。業務の現場を含めてITサービスの提供にかかわる広範な人たちが、セキュリティに関するしっかりとしたリテラシーを養い、組織が一体となって取り組んでいくことの価値を訴求していきたいと考えています。

岡田 良太郎

“Enabling Security”というミッションのもと事業を展開しており、また企業・大学・政府機関でインストラクタやアドバイザを務める。オープンな活動として、WASForum Hardening Projectのオーガナイザ、またグローバルコミュニティではOWASP Japan代表を務める。

藤岡

もちろんセキュリティ強化という観点では、基本的には、情報システム部門の主導のもと、優れた製品やサービスを導入して対策の拡充を図っていくことが必要であることは言うまでもありません。特に昨今の傾向としては、新種の脅威が続々と登場してきていることを背景に、いわば脅威の侵入を前提としたアフターインシデント、ポストインシデントにかかわる対策を強化するという方向性に進んできています。

企業が自社内にCSIRT（Computer Security IncidentResponse Team）^※2といった組織を設置する動きが活発化してきているというのも、言うまでもなく、新種の脅威といった動向をにらんでのことですが、ひとたびインシデントが発生した際には、情報システム部門だけでなく、経営層をはじめとして法務や広報も含めた関係者が、直ちに臨戦態勢に入る必要があります。おっしゃるように、セキュリティの問題を全社的な課題としてとらえ、日頃からしかるべきリテラシーを備えた人材を関連部門において育成しておくことが企業には求められますね。

1. WASForum（Web Application Security Forum）
   2004年に発足した非営利の任意団体。Webアプリケーションのセキュリティにかかわる課題の研究、安全性向上のための情報共有、適切な対策や構築手段に関する啓蒙を活動の目的としている。
2. CSIRT（Computer Security IncidentResponse Team）
   セキュリティに関連したインシデントに対応するための組織の総称。サイバー攻撃が高度化、巧妙化している中、検知されたインシデントに早期に対応して被害を最小限に抑える専門組織としてCSIRTを設置する企業や団体は増加傾向にある。