毎年アンチウイルスを更新する「攻め」のセキュリティグループはなぜ、CrowdStrike の EDR を選定したか
こんな情シスやセキュリティ担当者、どこにでもいるわけではない。
製品・サービス・業界動向
業界動向
PR
●「守り」から「攻め」のセキュリティグループへ
従来の情報システム部門の役割は、IT システムの企画、導入といったビジネスを支える大規模プロジェクトから、新しく入社するスタッフのために PC をキッティングしたり、基幹システムへのログイン ID 発行、セキュリティ研修の企画運営など、IT 周辺の必要不可欠な間接業務も着実に処理する「守り」のイメージが強かった。
しかし、今やテクノロジーと業務双方に精通した情シスやセキュリティ担当者の存在は、会社の競争力に直接的な影響を与える要素となりつつある。セキュリティよりも利便性優先に傾く企業の多い事は周知の通りだが、現場の実務を理解せずガバナンスだけを強める“セキュリティ原理主義的”な担当者がいれば、単に業務の利便性や効率が低下するだけでなく、現場で働く優秀な技術者や若手の離反すら招きかねない。
とはいえ、充分とはいえない予算や人員、経営の理解不足などの課題もあり、「攻め」の情シスへの転換は思うように進まないのが現状だ。こうした背景のもと、これらのハードルを超えているのがクックパッド株式会社だ。
水谷氏は大学の博士課程までセキュリティの研究を続け、IBM に入社、あの基礎研究所や、X-FORCE から進化した IBM SOC を経て、「ユーザー企業のセキュリティに携わりたい」「点ではなく面でセキュリティを極めたい」とクックパッドに入社した経歴を持つ。
一方、三戸氏は、クックパッドに入社後、情シス部門で社内 IT インフラを約 3 年間担当した。その後、さらなる業務経験を積みたいとセキュリティグループに異動し、現在に至る。
クックパッドの技術部は「事業部門に直接関わらない領域の技術課題」を担う。セキュリティ技術に秀でた水谷氏と、社内の業務実態やその課題に精通した三戸氏という絶妙のコンビが中心となりセキュリティを支える。
●製品やサービスは一年経てば変わる
まず、驚くべきは同社がウィルス対策製品をここ数年は毎年変更してきたという事実だ。多くの企業にとってウィルス対策製品は、コピー機のように定着・汎用化したセキュリティ製品といえる。それは言い換えれば「値上げやサポート終了などの大きな問題が起こらない限り変えない」ということだ。
保守的な組織、つまりほとんどの日本企業では、製品乗り換えという「挑戦」は評価されず、反対にほんの少しの可用性低下でもあればマイナス評価に直結する。情シスやセキュリティ担当者を評価する基準を経営がそもそも持たないし持つつもりもないように見えるのだから、減点主義で評価する以外方法がないのだ。
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
-
Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)
2024 年 1 月に公開された、Linux カーネルの脆弱性を悪用するエクスプロイトコードが公開されています。攻撃者は当該脆弱性の悪用により、一般権限での侵入に成功した OS の管理者権限が奪取可能です。Linux カーネルのアップデートにより対策してください。
-
訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績
彼は英国王立協会のフェローでもあり、ニュートン、ダーウィン、ホーキング、チューリングが名を連ねる「知の殿堂」入りを果たしていた。
ピアツーピアシステムとハードウェアの耐タンパー性における草分け的存在である彼は、チップや銀行の暗証番号カードなどの安全な設計に長年取り組み大きな影響を与えた。そして、ATM におけるセキュリティ上の欠陥を公表するというアンダーソンの取り組みにより、世界中で ATM の設計が変更されることとなった。 -
ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性
最後に、ハンキンス氏はクラウドセキュリティ全体像を戦略メニューとして図示した。上記で説明したソリューションやツール、各種フレームワークやプラットフォームが、機能や用途ごとに俯瞰できるものだ。この図は、ガートナーのクラウドセキュリティのコンサルティングの戦略ベースを示したものといってもよい。自社のセキュアクラウドを構築するときの「レシピ」として利用することができるだろう。