こんにちは！レオンテクノロジーの採用担当、福ちゃんです。今回は、レオンテクノロジーの社内勉強会の様子を一部ご紹介します。

今回は、エンジニア、コンサル、営業メンバーに好評だった社内勉強会の様子を一部ご紹介します。サイバーセキュリティに関わるご担当者や興味を持っている方に読んでいただけると幸いです！

概要

11月某日、弊社の相談役である阿部恭一さんをお迎えし、座談会形式の勉強会を開催いたしました。阿部さんはIPA講師や経済産業省の有識者委員も務めており、国内でも著名なセキュリティの専門家です。当日は、阿部さんからの問いかけとして、『セキュリティ対策の認識と現実のギャップ』について、社員との双方向の意見交換を行いました。

場所：池袋本社／Web
内容：一般事業会社のセキュリティ対策とは？認識と現実のギャップ、その差の埋め方について　etc.
登壇者：弊社 相談役 阿部恭一

■阿部恭一（ANAシステムズ株式会社 セキュリティマネジメント部 エグゼクティブマネージャー）　
【略歴】
2004年よりANAグループのセキュリティ統括としてグループ全体のセキュリティ向上を図る。2013年に社内CSIRTを立ち上げ、グループ会社、海外拠点も含むインシデント対応を統括するとともに要員を育成するための訓練を重点的に行う。セキュリティの対象範囲はリアクティブなインシデント・レスポンスにとどまらず、被害を出さないためのプロアクティブな防御、セキュリティ戦略の設計や役職員への教育、法令対応、セキュリティガバナンス、サイバークライムなど企業として直面する、あらゆる範囲をカバーする。サイバーセキュリティに関する講演多数。
【委員】
交通ISAC：初代事務局長
国際化サイバーセキュリティ学：Cysec講師
IPA：中核人材育成プログラム講師
経済産業省：セキュリティサービス審査登録制度に関する有識者検討会　委員
経済産業省：サイバーインフラ事業者のセキュリティ向上等に向けた検討会　委員
Certified SIM3 Auditor
【著書】
NTT出版「CSIRT 構築から運用まで」（共著）
ITMedia CSIRT小説「側線」
シーアンドアール研究所　「改訂新版 セキュリティエンジニアの教科書」（共著）

ーーーーー
座談会
ーーーーー

一般事業会社のセキュリティ対応の課題とは？

阿部さん：

中小企業の担当者から、セキュリティについて何をどう対策すればよいのか分からないという声をよく耳にします。一般事業会社がセキュリティに取り組む際、認識はゼロからスタートするというイメージがあります。

もしくは、セキュリティに関する知識が不足しているので、セキュリティ製品や装置に依存する傾向が強くなっています。多くの企業がセキュリティ対策として装置を導入するものの、導入自体がゴールになってしまい、その後の運用やメンテナンスが不十分で実際の効果を発揮できないことが多いです。

セキュリティ装置は導入後が本番で、放置せずにチューニングや有効性確認を行うことで、本来の効果を発揮します。ですので、どうやって使っていくのか、運用サポートは随時アップデートが必要ですが、昨年から今年の夏にかけて医療業界で起こったサイバー事故はこのような運用の管理が不十分だったことが原因です。

ところが、この保守に費用をかけることを懸念する経営者が多く、IT担当者（セキュリティの実務担当者）を悩ませています。つまり、現場の認識と予算（現実）のギャップが生じているのです。

このような状況を回避するために、事業会社には3つのスキルが求められます。

1. 自社の事業モデルの理解スキル：例）自社のシステムが使用される場面や使用方法など理解していること
2. セキュリティ装置に関するスキル：装置の役割や配置など、運用面をしっかり理解すること
3. インシデントレスポンスのスキル：有事の際に迅速かつ効果的に対応する力を身につけること

これらのスキルを元にセキュリティ対策を考えていく必要があります。3つ目のスキルについては、経験に基づく内容となるため、セキュリティの専門家であるセキュリティベンダーを味方につけてほしいと思います。

セキュリティベンダーを選ぶ基準とは？

阿部さん：

サイバー攻撃のニュースがあふれている昨今、外部のセキュリティベンダーの需要が出てきており、脆弱性診断のサービスの利用を検討するIT担当者（セキュリティを実務とする担当者）が増えてきました。

例えばベンダーが実施する脆弱性診断にはツール、手動などの手法がありますが、手軽に費用をかけずに使用できる手法として、AIの脆弱性診断の導入が挙げられます。

実は、ベンダーを選ぶ上で一番重要となる基準は、その顧客の事業やビジネスモデルに基づいて、脆弱性の指摘事項のうち、どれを優先するかというトリアージの判断、これを顧客と一緒に考えてくれるベンダーかどうかです。現状のAIは、良いか悪いかの判断はしてくれますが、優先順位を決めることはできません。脆弱性評価がBであっても、ビジネスモデルを考慮すると、優先すべき内容なのかどうかの判断が変わってくるのです。

ですから、優先順位をどう付けるか、効率的に進めるためのアドバイスがベンダーの腕の見せ所です。

事業会社が対応すべきセキュリティ対策とは？

阿部さん:

セキュリティ対策には事前の予防対策やインシデント発生後の事後対応など、たくさんのやることがあります。ただ、何も準備していない事業会社の担当としては明日起きるかもしれないインシデント対応をどうすべきか、ということを一番の心配事としているはずです。 ですので、まずは安心をしてもらうための地盤づくりとして、インシデントが発生した際の対応策＝インシデントレスポンスを整えることが重要だと考えています。多くの一般事業会社では、このインシデントレスポンスの体制が整っていないことが多く、実際に攻撃を受けた際に慌ててしまい、何をどう処理すればよいのか分からない状態に陥ってしまいます。

インシデント対応を進める中で、コスト面の課題は大きく、予算を管理する経営者の不満は、売上に繋がらないモノへの投資、お金と時間をかけても成果が見えないことなどが挙げられます。セキュリティ対策の強化には、経営者がその重要性を理解し、具体的な行動に移してもらわなければなりません。

経営陣から予算を確保するためにも、セキュリティの専門家であるセキュリティベンダーを味方につけることが重要です。セキュリティベンダーと連携し、実際の自社ビジネスモデルに基づいた対策を講じていきましょう。

具体的には、各部署の役割を明確にし、インシデント対応のシナリオを作成しておきます。いつ起こるか分からない有事に備えて、「こういうシナリオが来たら、こう動いてください」という対応策を作り、常にブラッシュアップしていきましょう。

その後、資産管理の資料から、何のデータに影響を受けているのか、またその被害額や残存リスクはどうなのかを確認し、トリアージを行います。この時に資産管理やリスクアセスメントなどの事前の予防対策の重要性に気づくはずです。即効性ある対策を担保しつつ、時間のかかる資産管理などの予防対策の重要性を経営者に理解していただき、着実に進めていきます。経営層に対して、武器を持たないIT担当者（セキュリティの実務担当者）に武器を与える存在として、レオンテクノロジーにはその役割を担ってほしいと考えています。 孤軍奮闘で頑張っているセキュリティの実務担当者の頼れる味方になってあげてください。

（和やかな雰囲気で、レオンメンバーの意見を聞きながらお話いただきました）

最後に

阿部さん:

経営層を中心に、依然としてコストをかけずにセキュリティ対策を実施したいという意識が強いように感じますが、最近ではサイバー保険を導入する企業も増え、セキュリティ対策に費用を投じる意識が徐々に変わりつつあります。日本でも少しずつ前進していると感じています。

（阿部さんの多彩な趣味について、ご紹介いただきました！🎣♨👜🎺）

私たちベンダーがセキュリティの意識を高め、実際に行動に移すことで、顧客企業全体のセキュリティレベルを向上させることができると信じています。定期的な情報交換や勉強会を通じて、さらなる意識向上を図っていきたいです。セキュリティの専門家として、レオンテクノロジーの皆さんが新しいアイデアや技術を取り入れ、業界をリードしていくことを期待しています！

ここまでお読みいただき、ありがとうございました！

座談会の後、懇親会で楽しい食事を囲みながら、参加者同士のつながりを深めることができました！
(写真を撮り忘れるという痛恨のミス📸)

今回、日本のセキュリティ業界やANAグループ全体のセキュリティ向上を支えている阿部さんから直接お話を伺い、このように交流を深めることができたのは私たちにとって非常に貴重な機会となりました。

今後も、私たちレオンテクノロジーの技術・仕事・役割がどうあるべきか、どのように役に立っているかを客観的に知る機会を積極的に作っていきたいと思います。

また、社内で実施したアンケートの結果、以下のテーマに関する勉強会を開催してほしいとのリクエストがありました。

• セキュリティトレンドの変化：ITのトレンドに合わせたセキュリティの変化についての講演
• CSIRT関連の講習会：インシデント対応やセキュリティベンダー選定のポイントについてのディスカッション
• 他社の成功事例：他社のセキュリティ対策や成功事例を共有する場

これらのリクエストを反映し、定期的に勉強会を実施して、さらに充実した内容にしていきたいと考えています。

次回の座談会のレポートの続報もお楽しみに♪