Cyber SecurityサウナJapan

トゥオミ:
みなさん、こんにちは。『Cyber SecurityサウナJapan』ポッドキャストの17回目は、前回に続いて中小企業向けのセキュリティ対策についての話を続けさせていただきます。よろしくお願いします。今回もホストをさせていただくのは、アンッティ・トゥオミと

島田:
ウィズセキュア、サイバーセキュリティ技術本部の島田です。

トゥオミ:
またメディアさんをお誘いしていて、アヒルさんとハスキーさんです。よろしくお願いします。
最後の話題として取り上げたいのは、先ほどまでSMBとしては難しいところがあったりしますとか、正しい選択を最初からセキュリティについて検討した方がいいですよ、という話に入ってましたが、これから具体的に中小企業に対して有効なアドバイスとか資料とかその他のアドバイス的なことをうかがっていきたいなと思ってます。まずはアヒルさんからお願いできますか？

アヒル:
アドバイスというよりは、参考になる資料を紹介しようかなと思うんですけど。最近JNSAさんが出していた「サイバー攻撃はお金がかかる」というインシデント損害額調査レポートのサマリーみたいな資料があるんですが、あれが非常に有効なんじゃないかなと思ってまして。何が有効かというと、具体的にあのレポートって中堅中小企業が1回もしインシデントに遭ったときにですね、具体的にはこれぐらいの費用損害がかかるとか、これぐらいの損害が、他の費用損害以外の損害が生まれるんだよっていうのを、具体的にお金に換算してお伝えしているわけです。それって非常にわかりやすくて、あと非常にそれを読むことでインシデントに1回遭うとこんなに損するんだ、みたいなのをリアルに感じられるので、中堅中小企業にとっては1回は読んでみていただくと、被害をランサムウェアとかを自分ごとにできるいい機会なのかなと思ってます。逆に、このレポートをどう使えばいいかっていうと、やっぱり経営層ってセキュリティとか関心ないと思うんですよ。だからそこに向けてですね、現場層がもしアンッティさんが言ってたような相談役がいればその人に橋渡ししてもらえばいいんですけど、そういう方がいないっていう時は、このレポートを持って、ビジネスの言葉でですね、経営層にセキュリティの重要性っていうのを語りかけていただければなと思います。

トゥオミ:
非常にいいアドバイスですね。企業の中ではセキュリティというのはITの役割じゃないですかと思い込んでしまってる傾向もまだあったりしますので。そういう意味では、ビジネスの単語でセキュリティが重要ですよとか、ビジネスのそういう言語に通訳することができるのはすごく重要ですね。ありがとうございます。非常にいいアドバイスをいただきました。ではハスキーさん、いかがでしょうか？

ハスキー:
やはりメディア側の人間としては、まずウェブのメディアをちょっと読んでいただきたいなっていうのはあります。昨今いろいろなことが起きて新聞だとか、テレビ等でも報道されてると思うんですけど、やはりもう少し専門的なメディアっていうのも存在しますので、そこでもう少し深掘った情報っていうのを収集して欲しいですし、それが気になったら例えばそれを社内でちょっと共有するだとか、そういったとこで啓蒙を図って欲しいなというところはあります。それに加えまして、先ほどおっしゃったようにガイドラインだとか、そういった情報をはじめとして国の機関だとか経産省とかも出しているので、そこを参照にはして欲しいなと思います。そのうえで先ほどアヒルさんもおっしゃったんですけども、やっぱりまず人もないし、コストもかけられないと思いますので、まずは情報を集めて周知して、そこから自社に何が必要なのかっていう。やっぱり、そもそも自社に最適なセキュリティってところをしっかりと考えて欲しいなというところですね。

トゥオミ:
ありがとうございます。では、島田さんはいかがでしょうか？

島田:
私自身ウィズセキュア株式会社で勤務している者なので、先ほどから申し上げているとおり、OSのチェックをちゃんと最新のものにしましょうだとかアンチウイルスを入れましょうということでお話しさせていただきました。やはりOSが最初になってるかどうかっていうのを一台一台チェックすると大変ですよね。アンチウイルスも集中管理をやっぱりしないと、バラバラに管理っていうのは難しいわけなんですよね。そこで弊社製品WithSecure Elements EPPっていう製品があります。これを導入していただくとOS、例えばPCですね、最新のOSになっているかどうか。それから導入されているアプリケーション、例えばAdobeのAcrobatだとかOfficeだとか、主だったソフトウェアが最新になってるかどうかっていうのは全部管理コンソールからチェックができます。それを強制的に更新とするコースも、それからアプリケーションを更新できるような機能もありますし。本当に今、PCがどう稼働してるかっていうこと、簡単な資産管理系の機能もありますので、社内に何が動いてるか、どういう状態になってるかっていうところの把握は各自できます。それからEPPに関しまして、要するにアンチウイルスに関しましても非常に強力です。非常にいろんな賞をいただいてますし、その中で振る舞い検知という機能があります。振る舞い検知で我々いろんな会社様とかお客様にいろいろデータ見させていただいてるんですが、振る舞い検知という機能で、未知のマルウェアに対しても強力に対抗。対抗というか、簡単に言うとそういうものが、未知のウイルスが来れば止めてるというものがありますので、ぜひ弊社製品もご検討いただければと思います。

トゥオミ:
はい、ありがとうございます。最後にアンッティからいくつかのコメントなんですが、私も一応セキュリティコンサルティングの経験の中で、スタートアップ的なとか、例えば新しくできたゲーム企業とかゲーム会社だったり、そういうタイプのお客さんの支援をしたことがありますので、その中で大体そういう20人30人ぐらいの規模になったら、少なくともすごくしっかりした診断よりは、構成レビューだったり、今の私たちが作っているプラットフォームだったり、ゲームだったり。作りとか構成的にはこれで長く保ってますか？そもそも今のままで大丈夫ですか？それとも大きな方向性の変更はした方がいいですか？ぐらいの確認をした方がいいですね。もう1つ、お客さんの中で、セキュリティの専門家の観点から言いますと、すごく嬉しい存在としていうのは、例えば開発チームの中にセキュリティに関心がある人がいますと、お客さん全体的にセキュリティの知識とか経験とか関心がわかっていく、ということは多く見てますね。セキュリティの専用のセキュリティのスタッフの余裕がなくても、とりあえずそういう開発とかクラウドプラットフォームの中でセキュリティに興味がある人、いわゆるセキュリティチャンピオンとか、そういう人が雇えると、社内からそういう積極的なセキュリティもある程度対策できる、ということですね。

最後にですね。小規模の企業についてはちょっとまだまだという話なんですが、もう1つの資料を紹介したいですね。これはちょっと前にも紹介したことがあるかもしれないと思いますが、CISというのは、Center for Internet Securityという国際企業の国際的なセキュリティのためのいろいろなリソース。例えばWindowsをどうやって設定すればいいですかとか、その他のソフトウェアとか、あと、どう設定すれば守れますかという資料を出している組織になってますね。CISさんがこのクリティカルセキュリティコントロール、いわゆるCISコントロールっていう資料も出していますので、その中ではまずどこから手をつければいいですかという情報をかなり出していますね。いわゆるインプリメンテーショングループとしてIG1と2と3があって、1が最初やるべきこととか。その中では、まさにその資産管理だったりパッチを当てましょう、ソフトウェアとかオペレーティングシステムをアップデートしましょうとか、基礎的なことが書いてあって、どんどんそれができたら、次にどうすればいいですかという情報も出していただいてます。ただし、かなり奥が深いですので、ちょっとおそらく中大企業向けではないかと思いますが、いずれ、この小規模の企業も大きくなったら、ぜひご覧いただければと思います。

島田:
アンッティさん、CISコントロール、いい話ですよね。CISコントロールについては、確かEnterpriseZineにおいて連載記事、連載されていると思いますので、それを多くの方に一読してもらうっていうことを非常に私はいいことだと思いますので、みなさんにお勧めします。

トゥオミ:
では、今回は非常にいいアドバイスと資料などを紹介していただき、ありがとうございました。では、サウナを浴びてきて、おしまいにさせていただきたいなと思ってます。ありがとうございました。

Cyber SecurityサウナJapan エピソード#17はYouTubeでもご覧いただけます。
https://youtu.be/kRYkCGagEww