サイバー攻撃時代のセキュリティ自己診断ツール 第1回「まず現状把握」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.19(木)

サイバー攻撃時代のセキュリティ自己診断ツール 第1回「まず現状把握」

特集 特集

トレンドマイクロが今年1月から公開したセキュリティ対策状況の企業向け自己診断ツール「セキュリティアセスメントツール」の利用者がすでに1,000件を突破している。

このツールは、クラウド化やスマートフォンの導入など企業のIT環境が変化する一方で、標的型攻撃などの脅威にさらされセキュリティ対策の見直しが迫られる現在、企業や組織の管理者が、短時間で対策状況の現状や漏れを把握することを目的に提供されている。本稿では同ツールの有効性と特徴についてレポートする。

●戦略的発想への転換が必要

2011年に、防衛産業やグローバル企業、政府組織等のシステムやネットワークをターゲットとした攻撃が多数報告されたことで、APT(Advanced Persistent Threat)、標的型攻撃といった単語が、企業経営者や情報システム部門の注目を集めるようになった。

しかし、こうした問題に対して製品やサービスのどれか一つの対策を実施しても、対策の決定打とはならない。なぜなら、APT攻撃は、その標的に対してカスタマイズされた攻撃を長期間にわたって成功するまで執拗に継続するからだ。

新しい攻撃の登場に加え、企業のセキュリティ対策に見直しが迫られる背景として、仮想化やクラウドコンピューティングへの移行、スマートフォンなどモバイルデバイスの業務利用といった企業のIT環境の変化という問題も存在する。

ここで重要になってくるのが、対症療法的な製品やソリューションの導入とは異なる、戦略的な発想だ。情報資産の棚卸しを行い、守るべき対象を明確にした上で組織のセキュリティ対策を見直して、優先順位を決めるという組織戦略的な発想が必要となるのだ。

●特徴は簡単さ、少ない設問で短時間で課題を浮き彫りに

組織のセキュリティ対策を見直すために前提となるのが、資産を脅かすリスクを把握することである。この潜在するリスクや課題を浮き彫りにしてくれるのが「セキュリティアセスメントツール」だ。

「セキュリティアセスメントツール」の最大の特徴は利用の簡易さで、5つのカテゴリ、総数25問の設問にYES、NOで回答するだけで、自社のセキュリティについて、防御や対処、組織運営など複数の観点から現状と課題が明らかになる。

同種のサービスは、これまでも各団体から提供されてきたが、専門の管理者に向けた診断ツールの場合、設問数が100問を超えるものや、その設問も企業規模や正社員比率だけでなく、離職率、過去の情報漏えい等のインシデント発生の有無といったかなり踏み込んだ内容を問うものもある。一方、「セキュリティアセスメントツール」は、回答者の属性データとして「業種」「職種」「企業規模」3項目という、必要最低限しか問うていない。

簡易さは、結果の精緻さとトレードオフの関係にあるため、用途に応じて、各種の診断ツールを使い分けることをお勧めしたい。しかし、昨年から、日本の大手企業や政府機関が相次いで受けた標的型攻撃を多くのビジネスパーソンが目の当たりにしたことによって、事業継続やブランド毀損など、セキュリティ対策はもはや専門管理者だけの問題ではなくなっている。こうした現状から考えた場合、一般管理職や経営者が気軽に利用して、問題点を短時間で把握し、その問題点を解決するためのアドバイスが得られる本診断ツールは、多くの利用者にとって有用であると言えるだろう。

なお、セキュリティアセスメントツールは、セキュリティ対策の基礎となる「データセキュリティ」にはじまり、新しい分野であるスマートフォンなどの「モバイルセキュリティ」や、仮想化やクラウドコンピューティングの問題を扱う「クラウドセキュリティ」そして標的型攻撃対策などの対応状況を診断する「サイバー攻撃対策」の4種が利用可能。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×