Skip to content

セキュリティマガジン TREND PARK

中堅以上の組織を中心に進む体制整備
実践的セキュリティ教育は低い実施率

 では、組織の取り組み状況はどうなっているのでしょうか。トレンドマイクロが今年6月に実施した「セキュリティ教育・組織体制に関する実態調査(※2)」によると、CSIRT/SOCのいずれかを設立済みの組織は全体で5.6%にとどまりますが、従業員1,000名以上の組織では12.8%がいずれかの組織をすでに設立しており、約4分の1にあたる25.3%が今後設立予定(時期未定含む)としています(グラフ3)。
 従業員5,000名以上の組織になると、設立済みは18.9%、今後設立予定(同)は26.4%に拡大します。「中堅規模以上の組織を中心に、万が一のインシデント発生に対応できる体制づくりが進んでいる状況がうかがえます」と染谷は分析します。その一方「CSIRT/SOCいずれの組織も設立予定なし」とする回答は従業員5,000名以上の組織で半数以上、全体では8割近くにのぼります。

 また一般社員のセキュリティ意識向上を目的とした取り組みの実施状況について聞いたところ、セキュリティに関する注意喚起は全体の69.8%が、社員向けのセキュリティ教育は51.1%が「実施している」と回答しました。一方、なりすましメール訓練などのサイバー攻撃演習を実施している回答者は全体のわずか8.7%。さらに社員教育については全体の3割以上、サイバー攻撃演習については全体の約7割が今後も「実施予定なし」と回答しています。

グラフ3:インシデント対応組織に関する取り組み状況

ノウハウ不足の壁が
体制整備とセキュリティ教育を阻む

 CSIRT/SOCに関しては中堅規模以上を中心に体制整備が進んでいるのに、いまだ多数が「設立予定なし」と考えるのはなぜか――。セキュリティ教育に関しても、サイバー攻撃の被害や内部犯行を抑止するようなセキュリティ教育が進まないのはなぜか――。

 調査結果から見えてきたのは「社内のノウハウ不足」という問題です。「全体のおよそ3割がノウハウ不足がネックとなり、体制の整備、社内講習会やサイバー攻撃演習を実施できずにいるのです」と染谷は述べます(グラフ4、グラフ5)。

昨今のサイバー攻撃、内部犯によるセキュリティ事故と組織の持つ情報資産とその漏えいが招くビジネスインパクトを考えれば、インシデントに対応できる体制や社員教育といった取り組みは、これまで以上に重要になっています。一方で、リソースや予算などの点から、組織内ですべて対応することは難しい場合もあります。

グラフ4:インシデント対応組織を整備しない理由

グラフ5:セキュリティ啓発活動を実施しない理由

 実際、膨大なシステムログから脅威を早期に発見し、その対応や原因究明、事故発生時の迅速なレスポンス、再発防止策の検討まで行える体制を整備するのは容易ではありません。セキュリティ教育に関しても、最新の攻撃手法を熟知している必要があるし、社内システムやデバイス、扱うデータの種類などによって教育方針も異なります。「組織によってリスクは異なります。守るべき対象、情報資産を見極め、リスク分析を行い、優先度をつけることで、状況に即した効率的な組織的、技術的セキュリティ対策を行うことができるでしょう。こうした取り組みを進めるには、専門家の知見を活用することも有効です」と染谷は述べます。

 トレンドマイクロはセキュリティ専業ベンダーとして脅威情報の収集・分析、インシデント対応などで培ってきた豊富な知見に基づき「CSIRT/SOC構築・運用支援サービス 」を提供。「トレンドマイクロの専門家がお客様環境のシステムやサービス、現時点の組織体制などの現状をヒアリングし、取り扱う情報の種類やシステム環境、過去のインシデント発生状況を踏まえたコンサルティングを実施。セキュリティレベル向上に有効なCSIRT/SOCの構築・運用を支援します」(染谷)。

 頻発するサイバー攻撃や内部犯による情報漏えいなど、セキュリティ事故は対岸の火事ではありません。被害を最小化するための取り組みが今求められているのです。

コアテク・脅威インテリジェンス 記事一覧へ戻る

記事公開日 : 2015.01.28

ページの先頭へ