2024年7月の気になるインターネット記事をピックアップ
暑いですね…不要不急の外出禁止、という懐かしいフレーズがニュースで流れています。コロナも流行っているようです、皆さんお気を付けください。 今月取りあげる記事は偶然にもすべて障害発生後にフォーカスを当てた記事となります。それだけサイバー攻撃、インシデントが身近なものになってしまったということでしょうか。
今だから再認識したいセキュリティの原則 組織に最も必要なセキュリティ機能とは
どんな組織にも絶対に必要なセキュリティ機能を取り上げます <略> その中から絶対に必要な機能を1つだけ選ぶとしたら、何になるでしょうか。究極の質問の答えは、「セキュリティインシデント対応機能」です。
どんな組織でもセキュリティインシデントは発生します。他業種に比べてセキュリティ対策に多額のコストを投じている金融機関であっても、社会のインフラとしてセキュリティ対策に一層の力を入れているクラウド事業者であっても、セキュリティインシデントに見舞われてしまうのは報道の通りです。企業においては、システムのバグや故障、悪意のある人間による攻撃などにより、セキュリティインシデントが起こるのは当然と考えたほうがよいでしょう。
これに関しては完全に同意です。毎日のように情報漏洩ニュースが流れています。この記事には “どんな組織であってもセキュリティインシデントは起こるとの認識のもと、対応機能を備えておく必要があるのです” と言われてしまいました。では何をするべきか。企業がセキュリティ対策としてすべきことは
- ID管理、ログ管理、資産管理といった予防的対策
- インシデント対応訓練
とあります。現在はGoogle WorkspacesやOffice 365などクラウドベースで業務を回している会社も多いのではないでしょうか。これらのスイートはID管理やロギングが充実しており、最低限の要件を満たすこともできます。しかし本格的なサイバー攻撃やランサムウェアを検知する機能はBasicプランには備わっておらず、高額なプラン変更が必要なのです、これが情シスの頭を悩ませています。
一方でインシデント対応訓練、これが必要というのはみんな分かっていると思います。「遠隔バックアップはしているが、復元は手順だけ作って実際にデモンストレーションしたことがなかったので、動けなかった」ということは多いみたいです。耳の痛い話です。自分の場合まずインシデント手順書を作るところからはじめないとなりません。
第1回 ワーキンググループ2(サイバーセキュリティ人材の育成促進に向けた検討会)
業界を代表する偉い人たちが集まってサイバーセキュリティに関する議論がなされたとのこと。会議内容は非公開ですが、議事要旨が公開されました。
サイバー攻撃が高度化・複雑化する中、産業界のサイバーセキュリティ対策を向上させるためには、セキュリティ対策を実装する需要側、産業・技術基盤の維持・発展を支える供給側、双方の基盤となる人材の育成・確保が重要である。<中略>そのため、経済産業省において、「産業サイバーセキュリティ研究会 ワーキンググループ2(経営・人材・国際)サイバーセキュリティ人材の育成促進に向けた検討会」を設置し、既存の施策の見直し等、セキュリティ人材の拡充に向けた施策の方向性を検討する。
内容を一通り読みましたが、やはり気になるのはこのブログでもたびたび取り上げている登録セキスぺについて。
<登録セキスペの活用及び制度の見直し> 登録セキスペ資格を更新しない理由として、特にメリットがないとされている点が重要であり、資格の登録にも影響していると考えられる。 また、資格登録や維持に係る金銭負担が大きいというのは何と比較されての意見なのかを明らかにしたい。おそらく、試験料金の値上げや、更新制の導入による費用負担の増加を踏まえて発言されていることが多いのではないか。資格保有のメリットがないのであれば、それは金銭負担の問題ではないということであり、また資格保有のメリットがあるのであれば、手間暇かけて維持をしていくということである。他資格の例も踏まえ検討をされたい
登録者には資格維持のために 3 年間で 10 万円以上費用負担を課しているが、その収入が登録セキスペ制度にどう生かされているか。
上場企業においては、内部監査の体制等の非財務情報を有価証券報告書に掲載すべしいう議論の方向性もあり、この流れと並行してセキュリティについても、登録セキスペの資格者人数等の情報を有価証券報告書に掲載させるなど、幅広くメリットを検討されたい。 また、資格維持の費用については、講習をオンラインで実施すれば費用を安くできるといことが現時点で見えているわけではない。そのような状況を踏まえると、ポイント制度を設け、登録者が勉強し続けられる仕組みを作る方法もあると思う
たとえばCISSPの場合は更新に費用は掛からず135ドルの費用がかかるようです 資格を保持し続けるためにはセキュリティに関する記事を書く、コードを書く、本を読んだ感想を書くなどでポイントを稼ぐ必要があります(後述の事務局の説明資料の25ページに詳細があります)。
セキュリティという仕事に誇りのある人であれば、そういう課題は積極的にやるのではないかと思うんですよね。ただポイントを積み上げるのは容易ではないので、CISSPを維持している人たちは立派なのだな、と思いました。
あと安くすればよい、というわけでは同意です。カリキュラムは悪くなく、お金を出すに値する内容と自分も思っています。だからこそ『この資格を持っていることにより、年収も増加する』というインセンティブがあってほしいのです。とにかく現状の登録セキスぺは企業・社会の中で存在感がないのが問題だと思います。
事務局の説明資料ではセキュリティ人材の需要および供給に対する働きかけのこれまでの活動が紹介されています。日本、アメリカ、オーストラリアのセキュリティ人材の充足・不足のグラフは、なぜ日本だけこんなに不足していのでしょうか?現在2.3万人のセキュリティ人材を2030年に5万人に増やすことが目標という。これは果たして現実的なのでしょうか…?
登録セキスぺは法務のように特別なスキルを持った存在であるわけで、これだけセキュリティ強化が叫ばれる現在、本来はセキュリティに特化して働くべき人材なのでしょう。しかし中小企業はそんな余裕はなく、別のプロジェクトと兼務でセキュリティの仕事をやっていることが大半なのではないでしょうか。これではセキュリティ対策は進みません(セキュリティ対策自体、おカネを生み出さないため優先度が下がります)しかし検討委員会は登録セキスぺをそのようなついでの仕事をする存在とは位置付けてはいないようで、
- 企業等において、経営層、担当者(IT部門、事業部門、管理部門等)をつなぐようなCISO的な活躍
- IT/セキュリティベンダー企業との技術的調整を通じて、実施すべきセキュリティ対策を実現するマネジメント
- 中小企業等のコンサルとして、脆弱性診断、セキュリティ監視、セキュリティ監査等の専門的なセキュリティ対策の支援
CISO的な存在になれ、と。ずいぶん大きく出ましたね…そんな責任あるほどにはお金もらっていないよ、と言いたくなるでしょうね(^^;) 冗談はさておき、登録セキスぺとして高い更新料を払って資格を維持している人は上記のような期待している役割を果たしたいという責任感ある人も少なくないと思います。一方で
- ベンダー側に偏っており、ユーザー企業での活用が進んでいない。
- 専業化がされておらず、活躍の場が限らている。
- 資格維持のためのコストが大きい(3年間で10万円以上必要)との意見あり。試験合格者の多くは未登録
という現状の課題も委員会の認識通りです。今後の方向性としては
- 補助金等において、登録セキスペ配置あるいは活用の要件化及び加点措置の導入を検討
- 重要インフラ等の特定業種や企業規模に応じたセキュリティ対策を実施するため、登録セキスペの必置化を検討
ずっと前から言われている話ですね、企業にとって登録セキスぺを雇用するというインセンティブを追加してほしいという話。未だ検討している状態なのか・・・。 ただ、国のトップが懸念と改善策を認識していることは分かりました。どんどん状況が改善され、我々の努力や研鑽が報われることを期待します。ホント早くしてくれ・・・。
NPO日本ネットワークセキュリティ協会のそのものずばりなタイトルのパワポ。 中小企業においても数千万円、、下手したら億のお金がかかる 特に、サイバー攻撃で被害を受けてしまった場合の事後対応、フォレンジック調査や法律関係、全国紙への謝罪の広告費、対応業務のコールセンターなどをアウトソースした場合どれくらいの費用が掛かるのか具体的な金額が紹介されています。あとはシステムがダウンしてしまった場合業務ができない=稼げない、ということで。サイバー攻撃ではないですが、グリコの基幹システム切り替え失敗による業務への影響はたいへんなことになっているのでしょうね…。
続いてサイバー攻撃の傾向。2017年上半期に45件、2020年上半期に89件だった件数は2022年は389件ととんでもない増加数です。この背景には情報公開するよう厳しくルールが定められたこともあると思いますが、それにしてもすごい増加数。そしてランサムウェアの脅威は逼迫しています。現場のリアルな声 「セキュリティ強化を図っているが、今後EDRだけでは防げないことも認識している」 ほんとうに他人ごとではない…。
高一か月の記事をまとめると、サイバーセキュリティという船から降りたくなってきます(先月も同じことを言いましたが)責任感は大きく、一方で攻撃側が圧倒的に有利であり、普段は評価されず、収入も多くはありません。世界中のサイバーセキュリティ担当がバーンアウトしてしまうのもむべなるかな、です。