日経メッセ プレミアムカンファレンス聴講


  11/15、日経新聞主催のプレミアム・カンファレンス・シリーズ「セキュリティマネジメント最前線~進化するサイバー攻撃への対応策とは~」を聴講いたしました。

 

 色々なサイバー攻撃にまつわるWEBセミナーがある中で、現状に即した大変参考になる話がありましたので少し紹介します。

 

 ANAの担当部長さんの話。当然ながら空の運行を担うANAさんの事業では、システムを止めることができない。侵入後の対策をしても、結局システムを止めて詳細調査をする必要があるので、当社の事業スタイルには合わないと。したがって予防(侵入されないこと)に全力を傾けることに決めた。結論として仕事のプロセスにゼロトラストの考え方を取り入れ、おかしい動きの場合は先に進めないしくみにした。

 

 簡単に言うとこういう内容でした。全くその通りで、おかしいと思いつつプロセスが作動してしまうがために被害に遭うわけで、決めたプロセス以外では進めないしくみにすれば攻撃されないということです。ANAさんのような大企業であれば、これをシステム化することで、ヒューマンエラーや故意によるものまでも防げる可能性があり、手間とお金はかかるけどこれしかないなと感じた次第です。

 

 中小企業においては、全てのプロセスで信頼できる管理者によるチェックを入れ、許可が無いと動かないしくみにすれば同様な対策は取れると思いますが、結局人が関わる部分が増えるために手間がかかり、自動化するためのサービスを入れると、そのシステムの脆弱性による侵入・・・という結果に・・・。

 現実的にはプロセス管理とともに、それでも防げない部分に侵入後の対策として監視サービスや保険の活用が中小企業には合っていると改めて思いました。

 

 サイバーセキュリティセミナーはどれもこれも似たり寄ったりの内容になりがちですが、実際の企業の実例をコストと人の問題を踏まえて、どうしたら中小企業にも活用できるか考えることは非常に重要なことだと感じた秋の午後でした。