前編はこちら
セキュリティ対策の第一歩は「資産とプロセスの把握」
企業のセキュリティ対策はいったい何から始めればよいのか。星野氏は、まず自社の状況を正確に把握することが重要だと強調する。企業によっては、そもそも自社にどういった情報資産があるのかを適切に把握していない場合も多い。情報資産の洗い出しを行うことで、「自社のシステムのここが攻撃されたら危険だ」ということが明確となる。
また、自社のビジネスプロセスとサプライチェーンの可視化を行うことも重要だ。
「セキュリティ対策を取るにしても、取引先や関連会社のすべてに一律に高いレベルを求めることが現実的でないこともあります。重要な個人情報を預ける取引先、物流や決済を任せる取引先と、重要な個人情報などを開示せずコンサルティングだけを任せる取引先では優先度が異なります。まずは『どういう取引先があるか』『どこが攻撃されたら困るか』という洗い出しをするだけでも整理できます」と星野氏はアドバイスする。
IPA(情報処理推進機構)が提供している「中小企業の情報セキュリティ対策ガイドライン」(特に同ガイドライン付録の情報セキュリティ自社診断、リスク分析シート)や「実務者のためのサプライチェーンセキュリティ手引書」(特に同手引書別冊のチェックポイント集)などのリソースを活用することで、効率的にチェックリストを作成可能だ。
失敗しないセキュリティベンダー選定
セキュリティベンダーの選定も重要な課題だ。ひと口にベンダーと言っても、SOC(セキュリティオペレーションセンター)のような24時間監視サービス、脆弱性診断サービス、セキュリティプラットフォーム、EDR(Endpoint Detection and Response)など様々なタイプのサービスを提供するベンダーがある。
星野氏はベンダー選びにおいても同様に、自社の資産とプロセスの把握が土台になると話す。「ベンダー選びで困るのは、専門用語が多くて分かりにくいことと、何が本当に必要なのか判断が難しいことです」と星野氏。自社のシステムを理解せずに「何をやればいいか分からない」とベンダーに丸投げすると、不要なコストがかかったり、適切なサービスが選べない可能性もある。
こうした状況を避けるためにも、事前に自社のシステムや保有データといった情報資産を把握することが不可欠だ。自社でリスクの洗い出しをしてから相談すれば、ベンダー側も、優先度の高いソリューションを提案しやすくなる。
次ページは、事例を活用して社員全体に自覚を持たせる
