実態に疎いのはセキュリティ企業の方…新生 GSX エバンジェリストに聞く | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.05.23(木)

実態に疎いのはセキュリティ企業の方…新生 GSX エバンジェリストに聞く

「インシデントレスポンスやフォレンジック事業でも行っていない限り、むしろセキュリティサービスを提供している企業の方が一般企業よりも実被害経験が少ないのではないか」そんな説を披露するのは、グローバルセキュリティエキスパート株式会社の武藤耕也氏だ。

製品・サービス・業界動向 新製品・新サービス
 大きく新聞やテレビに取りあげられるようなインシデントが発生すると、それにタイミングを合わせてセミナーを開催したり情報発信を行い、サイバー攻撃被害の恐ろしさを感情的に刺激して、サービスや製品の販売につなげる。これは「恐怖訴求」「ホラーマーケティング」などといわれ、セキュリティに限らず、さまざまな産業が行ってきた手法である。

 しかし近年、セキュリティ業界でのこうした手法は、以前よりも減ってきている印象がある。産業自体の成熟・洗練や、そもそも特定の対策製品だけで防げるような被害が減ってきていること等々、複数の理由が考えられる。

 「恐怖訴求が役に立たなくなった理由は、もはやそれが必要ないほど、企業が感染や知財窃取などの実被害を経験しているから。インシデントレスポンスやフォレンジック事業でも行っていない限り、むしろセキュリティサービスを提供している企業の方が一般企業よりも被害実態を知る経験が少ないのではないか。」 そんな説を披露するのは、グローバルセキュリティエキスパート株式会社( GSX )執行役員 コーポレートエバンジェリスト 教育事業部長 武藤 耕也(むとう こうや)氏だ。それは、GSX が日頃業務で顧客と接するなかで持つ実感だという。

●共通認識を持って活動している企業はどんどん前に進んでいる

 武藤氏がよく話に出すのは、経団連が昨 2018 年春に公開した「経団連サイバーセキュリティ経営宣言」だ。経団連という団体の性質上、経産省「サイバーセキュリティ経営ガイドライン」ほどの認知度はないものの、サイバーセキュリティを経営課題として認識し、経営方針を策定、具体的体制を構築し、人的・技術的対策実施を通じ、社会全体のエコシステムを構築するところまで言及しており、国のインフラを担う大手企業としての、責任と決意が明記されている。宣言そのものはシンプル極まりなくみえるが、この宣言前にも経団連は自らセキュリティに関する提言を複数回に渡り発信している。こうした文書が出される背景には、経団連企業とそのグループ会社において相当数のインシデントが起きている実態があると武藤氏は見る。

 武藤氏によれば、セキュリティの重要性を認識しない頭の固い一般企業を、すべてを知るセキュリティ企業が啓発してさしあげる、などといった考えがそもそも思い上がり。「サイバーリスクを認識し、全社でそれを共通認識にまで落とし込んで活動を進めている企業は、一般企業であっても、どんどん先に進んでいます。(武藤氏)」 むしろセキュリティ企業側が気づいて解消すべきギャップだという。

●サービス、製品への過剰な期待

 もちろんまだまだ企業側にもギャップはある。正しくリスク認識できていない企業もいまだ多い。そんな企業側の大きなギャップのひとつが「セキュリティ = IT 部門だけの問題、技術だけの問題」という誤解だ。武藤氏がその誤解をとくために、全国各地のセミナーや取締役会に呼ばれて行うブリーフィングで必ず語るのは、特殊詐欺のような刑事犯罪とサイバー犯罪の構造上の共通点である。サイバーセキュリティが、これまでの事務所荒らしや、騙り詐欺のような刑法犯と何も変わらない「防犯の問題」と語ると、IT 部門だけの問題ではなく全社を通して対応すべき問題だと、ようやく腹落ちしてもらえるという。

 もうひとつの企業のギャップは、セキュリティサービスや製品に過剰な期待を持ってしまうことだ。「こういう誤解が生まれる原因は、我々セキュリティ業界側にもあります。反省すべき点です。」と、武藤氏は言う。

 新しい製品やソリューションができると、その説明や営業にばかり走ってしまう。「この製品を入れれば大丈夫です」「このサービスを使えば安心です」という営業トークだらけになってしまい、本当に企業が理解すべき「リスク認識」や、それを「どのように考えて、どのようにコントロールするか」というような本質的な話は、営業活動の現場では殆ど語られない。するとますます「セキュリティ = IT 部門だけの問題、技術だけの問題」という誤解が進行し、また製品やソリューションサービスへの過剰な期待に繋がっていく。

●完璧に構築した CSRIT が回らない理由は

 予算をとって構築した CSIRT が回らない、なんとかしてほしい。GSX にそんな依頼が飛び込むという。いま GSX の CSIRT 絡みのコンサルティング案件のほとんどがこうした問題だ。超一流のグローバルファームに設立を依頼して構築したものの、満足な運用ができないという課題だ。しかし、武藤氏がその機能していない CSIRT のドキュメントを見ると、規定は整理されていて完璧、リスク洗い出しの網羅性も申し分なく、多くのケースで見事なドキュメントが整備されているという。しかし現実には、CSIRT が回らないと相談が来るのだ。なぜか?

《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×