日常的な「ヒヤリ」を素材に、インシデント対応の訓練を積み重ねるべき
こうした議論を踏まえて、3氏からそれぞれ、企業と経営層、セキュリティの現場担当者がこれから実践すべきことが具体的に提案された。
ラックの長谷川氏は、標的型攻撃などのサイバー攻撃に備えるための5箇条を提示し、まず初めに取りかかるべきは「不正通信の洗い出し(可視化)」であると説明した。
サイバー攻撃に備える対策の実施順序(例)。最初になすべきことは「不正通信の洗い出し」
加えて長谷川氏は、経営層の迅速な意思決定によってインシデント対応スピードを上げる必要があり、そのためには事故発生時にどう動くかという「訓練」をふだんから実践しておくべきだと語った。
「非常時にどう行動するかのシミュレーションを、ふだんから関係者がやっている会社は、意思決定までにもそれほど時間がかからない」(長谷川氏)
ディアイティの河野氏は、一般的な企業ではそうした訓練の「素材」に苦労するかもしれないと語った。重大なセキュリティ事故が自社内で起きることはまれであり、一方で他社の事故背景を詳しく知ることもできないからだ。
「そこで、〔自社内で発生した〕事故には至らない『事象』レベルのケースを素材に訓練してくださいと話をしている。小さな失敗に気づき、それを改善し、対応できる力を付けていくことが、実は訓練としても重要なのでは」(河野氏)
日本MSの高橋氏も“ヒヤリハット”を例に挙げて、絶対数の多い小さな事象(ヒヤリ)の発生を減らしていくこと、そこから対応のノウハウを学び、蓄積していくことで、重大事故発生時における経営層の対応力も高められるだろうと述べた。
高橋氏が示した「インシデントシミュレーション」の基本的な実施項目
* * *
そのほか同セッションでは、セキュリティ対策とPDCAサイクル、セキュリティ投資のROI算出、人的なセキュリティ対策を減らしITによる対策に移行することの重要さなどが議論された。
最後に高橋氏は、「経営とセキュリティをつなぐ」というテーマに沿って、次のようにまとめた。
「〔経営と現場担当者が〕一緒になって、方法論を探し、数値化された具体的なファクトを積み重ね、ディスカッションとレビューをして、なおかつ事例を想定したトレーニングも行っていく。そうすることで、機能性のあるチームができていくのではないか」(高橋氏)
