実態に疎いのはセキュリティ企業の方…新生 GSX エバンジェリストに聞く | ScanNetSecurity
2024.05.12(日)

実態に疎いのはセキュリティ企業の方…新生 GSX エバンジェリストに聞く

「インシデントレスポンスやフォレンジック事業でも行っていない限り、むしろセキュリティサービスを提供している企業の方が一般企業よりも実被害経験が少ないのではないか」そんな説を披露するのは、グローバルセキュリティエキスパート株式会社の武藤耕也氏だ。

製品・サービス・業界動向 新製品・新サービス
facebookLINE
PR
「必要な人材は『ちゃんとわかっている人』」 グローバルセキュリティエキスパート株式会社 執行役員 コーポレートエバンジェリスト 教育事業部長 武藤耕也氏
「必要な人材は『ちゃんとわかっている人』」 グローバルセキュリティエキスパート株式会社 執行役員 コーポレートエバンジェリスト 教育事業部長 武藤耕也氏 全 1 枚 拡大写真
 大きく新聞やテレビに取りあげられるようなインシデントが発生すると、それにタイミングを合わせてセミナーを開催したり情報発信を行い、サイバー攻撃被害の恐ろしさを感情的に刺激して、サービスや製品の販売につなげる。これは「恐怖訴求」「ホラーマーケティング」などといわれ、セキュリティに限らず、さまざまな産業が行ってきた手法である。

 しかし近年、セキュリティ業界でのこうした手法は、以前よりも減ってきている印象がある。産業自体の成熟・洗練や、そもそも特定の対策製品だけで防げるような被害が減ってきていること等々、複数の理由が考えられる。

 「恐怖訴求が役に立たなくなった理由は、もはやそれが必要ないほど、企業が感染や知財窃取などの実被害を経験しているから。インシデントレスポンスやフォレンジック事業でも行っていない限り、むしろセキュリティサービスを提供している企業の方が一般企業よりも被害実態を知る経験が少ないのではないか。」 そんな説を披露するのは、グローバルセキュリティエキスパート株式会社( GSX )執行役員 コーポレートエバンジェリスト 教育事業部長 武藤 耕也(むとう こうや)氏だ。それは、GSX が日頃業務で顧客と接するなかで持つ実感だという。

●共通認識を持って活動している企業はどんどん前に進んでいる

 武藤氏がよく話に出すのは、経団連が昨 2018 年春に公開した「経団連サイバーセキュリティ経営宣言」だ。経団連という団体の性質上、経産省「サイバーセキュリティ経営ガイドライン」ほどの認知度はないものの、サイバーセキュリティを経営課題として認識し、経営方針を策定、具体的体制を構築し、人的・技術的対策実施を通じ、社会全体のエコシステムを構築するところまで言及しており、国のインフラを担う大手企業としての、責任と決意が明記されている。宣言そのものはシンプル極まりなくみえるが、この宣言前にも経団連は自らセキュリティに関する提言を複数回に渡り発信している。こうした文書が出される背景には、経団連企業とそのグループ会社において相当数のインシデントが起きている実態があると武藤氏は見る。

 武藤氏によれば、セキュリティの重要性を認識しない頭の固い一般企業を、すべてを知るセキュリティ企業が啓発してさしあげる、などといった考えがそもそも思い上がり。「サイバーリスクを認識し、全社でそれを共通認識にまで落とし込んで活動を進めている企業は、一般企業であっても、どんどん先に進んでいます。(武藤氏)」 むしろセキュリティ企業側が気づいて解消すべきギャップだという。

●サービス、製品への過剰な期待

 もちろんまだまだ企業側にもギャップはある。正しくリスク認識できていない企業もいまだ多い。そんな企業側の大きなギャップのひとつが「セキュリティ = IT 部門だけの問題、技術だけの問題」という誤解だ。武藤氏がその誤解をとくために、全国各地のセミナーや取締役会に呼ばれて行うブリーフィングで必ず語るのは、特殊詐欺のような刑事犯罪とサイバー犯罪の構造上の共通点である。サイバーセキュリティが、これまでの事務所荒らしや、騙り詐欺のような刑法犯と何も変わらない「防犯の問題」と語ると、IT 部門だけの問題ではなく全社を通して対応すべき問題だと、ようやく腹落ちしてもらえるという。

 もうひとつの企業のギャップは、セキュリティサービスや製品に過剰な期待を持ってしまうことだ。「こういう誤解が生まれる原因は、我々セキュリティ業界側にもあります。反省すべき点です。」と、武藤氏は言う。

 新しい製品やソリューションができると、その説明や営業にばかり走ってしまう。「この製品を入れれば大丈夫です」「このサービスを使えば安心です」という営業トークだらけになってしまい、本当に企業が理解すべき「リスク認識」や、それを「どのように考えて、どのようにコントロールするか」というような本質的な話は、営業活動の現場では殆ど語られない。するとますます「セキュリティ = IT 部門だけの問題、技術だけの問題」という誤解が進行し、また製品やソリューションサービスへの過剰な期待に繋がっていく。

●完璧に構築した CSRIT が回らない理由は

 予算をとって構築した CSIRT が回らない、なんとかしてほしい。GSX にそんな依頼が飛び込むという。いま GSX の CSIRT 絡みのコンサルティング案件のほとんどがこうした問題だ。超一流のグローバルファームに設立を依頼して構築したものの、満足な運用ができないという課題だ。しかし、武藤氏がその機能していない CSIRT のドキュメントを見ると、規定は整理されていて完璧、リスク洗い出しの網羅性も申し分なく、多くのケースで見事なドキュメントが整備されているという。しかし現実には、CSIRT が回らないと相談が来るのだ。なぜか?

  1. 1
  2. 2
  3. 続きを読む

《ScanNetSecurity》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. 護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

    護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

  2. デジサートのEV証明書の記載フォーマットに誤り、再発行とサーバへの入れ替え呼びかけ

    デジサートのEV証明書の記載フォーマットに誤り、再発行とサーバへの入れ替え呼びかけ

  3. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  4. テレビ宮崎グループ会社にランサムウェア攻撃、請求書発行システムを停止

    テレビ宮崎グループ会社にランサムウェア攻撃、請求書発行システムを停止

  5. 豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし

    豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし

  6. 北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]

    北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]

  7. 東京電力エナジーパートナー、電力・ガス取引監視等委員会からの報告徴収に対する報告書提出

    東京電力エナジーパートナー、電力・ガス取引監視等委員会からの報告徴収に対する報告書提出

  8. サイバーセキュリティ人材、女性の平均給与は男性と約80万円差 ~ ISC2 調査

    サイバーセキュリティ人材、女性の平均給与は男性と約80万円差 ~ ISC2 調査

  9. AI とドローン利活用最悪事例 ~ 米保険会社 住宅空撮し保険契約 猛烈却下

    AI とドローン利活用最悪事例 ~ 米保険会社 住宅空撮し保険契約 猛烈却下

  10. Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」

    Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」

ランキングをもっと見る
ホーム 製品・サービス・業界動向 新製品・新サービス 記事
TOP