前へ 1 2 3 次へ

第19回 “あのセキュリティ事故”はどうやったら防げた? 検証委員会

取引先の信頼を失わないためには「実効性のある運用」までが大切

SCS評価制度、“形だけの★3取得”が招いた取引停止の危機 どうやったら防げた?

文●大塚昭彦/TECH.ASCII.jp

提供: フォーティネット

  • この記事をはてなブックマークに追加
  • 本文印刷

「幅広い対策」から「実効性のある運用」までカバーするフォーティネット

 SCS評価制度の要求事項は「実現すべき状態」を示したものであり、特定のセキュリティ技術や製品の導入を求めるものではない。したがって、具体的な対策の内容は、企業規模やセキュリティ予算額に応じて検討すべきである。

 とはいえ、適切なセキュリティ製品を導入すれば、特に大項目の4~7(攻撃の防御/検知、インシデント対応、復旧に関する要求事項)の実現に役立つ。ここではフォーティネットの製品を例に考えてみよう。

 フォーティネットの製品群は、ネットワーク、エンドポイント、リモートアクセスまでを統合的に支援することができる。

 たとえば、FortiClientを導入すれば、資産管理の「ハードウェア、OS及びソフトウェアの把握(3-1-1)」を自動化できるほか、攻撃の防御の「ハードウェア、OS及びソフトウェアの安全な構成(4-4-1)」「セキュリティパッチ・アップデートの手続(4-4-4)」「マルウェア感染からの保護(4-4-5)」にも役立つ。同様に、「ネットワーク境界防護(4-5-1)」や「ネットワーク接続・データの監視(5-1-1)」にはFortiGateやFortiSASEが対応する。

 ここでもうひとつ大切なのが、導入した製品を“実効性のあるかたちで運用する”ソリューションだ。フォーティネットの場合は、プラットフォームが統合されているため、さまざまな製品の稼働/運用状況を一元的に把握できる。具体的には、フォーティネット製品のログを集約/分析できるFortiAnalyzerを活用することで、実効性のある運用がなされていることが確認できる。

 たとえば、攻撃や不審アクセスの検知、アクセス制御ポリシーの適用確認、脆弱性の管理といった文脈で、FortiAnalyzerによるログ分析とレポーティングの機能により、運用状況を素早く把握できる。個別に製品を導入し、個別にログを参照するのは手間がかかるが、このように統合されていれば、専任担当者のいない中小企業でも大きな手間をかけずに、実効性のある運用がなされていることを証明できる。

FortiAnalyzerは、あらゆるフォーティネット製品からのログを収集/統合し、可視化と分析を可能にする

■セキュリティ事故、その後日談:

 情報漏洩の発生後、M社では社長や現場部門長を含めた対策連絡会議を発足させ、セキュリティ事故の再発防止策を検討した。会議の場では、「3カ月以内の★3取得」というスケジュールに無理があったこと、セキュリティ対策強化の目的やルールの意味が現場社員に浸透していなかったこと、それどころか総務部でも「要求事項」を軽視していたことなど、反省点が率直に話し合われた。

 会議の結果を受け、M社ではあらためて★3評価に取り組むことにした。★3の要求事項を一つずつ自社のIT環境に当てはめ、「本質的に何が求められているのか」を丁寧に理解したうえで、取るべき対策を検討/実行していく。同時に、現場社員に対しても「なぜそうしなければならないのか」を丁寧に説明して、協力を得ていく方針だ。

 なお、取引先のC社からは後日、「一方的に“3カ月”という期限を設け、結果的にM社の拙速なセキュリティ対策を促したのは不適切だった」と連絡があり、M社のセキュリティ対策が改善されたことを確認したうえで、取引を再開する方針が伝えられた。サプライチェーンのセキュリティ強化は、一方的に“押しつける”ものではなく、共同で進めていく姿勢を持つことが大切である。

■関連サイト

前へ 1 2 3 次へ
Fortinet トップへ

本記事はアフィリエイトプログラムによる収益を得ている場合があります

この連載の記事

この連載の一覧へ