SST連載・解説記事

  1. HOMEHOME
  2. SSTコラムSSTコラム
  3. セキュリティ業界コラム 乗口の視点
  4. 11 もう一人の視点対談 乗口雅充 X 松尾秀樹 前編

セキュリティ業界コラム 乗口の視点


今回はWSDをテーマにゲストをお招きし対談を行いました。前後編にわけてご紹介いたします。(後編はこちらです。)

WSDとは
Webサイトを利用してビジネスを行う企業における、Webサイトのセキュリティに対して責任を持つ担当者である Web Security Director の略

はじめに

株式会社セキュアシステムスタイル 代表取締役 松尾様をゲストにお招きした理由についてお話します。

CSIRTを設立した企業が急増し、100社を超えるところまできました。ようやく、企業が経営課題としてセキュリティ強化や組織強化に取り組みはじめています。本コラムでも、セキュリティ担当者であるWSDの設置をはじめ、セキュリティ部署の設置をすすめてきましたが、次に大事なのは設置後の運用です。今後、必要になってくるのは企業を支援する壁打ち役でないかと考えます。テニスで言えばコーチ役です。ここで言うコーチ役は、実際にWSDの経験のある方にしか務まらないと思います。

そこで、コーチ役すなわちセキュリティ顧問という新しい事業を立ち上げた株式会社セキュアシステムスタイル 代表取締役 松尾秀樹様をゲストにお招きいたしました。

はじめに

SST最初に株式会社セキュアシステムスタイル(以下、SSS)のご紹介をお願いします。企業のロゴが力強い印象ですね。込められた想いなどもお聞かせください。

SSSロゴ

SSS松尾です。昨年秋に株式会社リクルートを退職し、それまでやってきたセキュリティ施策を企業の皆様のところでお手伝いしていこうと思い、新しく会社を設立しました。

企業内におけるセキュリティ施策は、IT技術も必要ですが、組織の中で施策を落とし込むちょっと難しいコミュニケーションが必要です。施策そのものの道具をお出しすることと合わせて企業内のWSDの皆様に具体的な作業を通じて安全な環境を作っていただきたいと考えています。

ロゴは、2重螺旋でスパイラルアップしていくさまを描いています。規程(セキュリティポリシー)と具体的な施策が融合して現場(実装)が成長していく様子を表しています。


ロゴについて
  

SST長年、ユーザ側でWSDとして実績を積んだ上でSSSを起業した背景やエピソードについてお聞かせください。

SSS背景としては、Webサイトが引き起こしたインシデント(65件の個人情報漏洩事件)があり、セキュリティの業務へ転身することになりました。手探りで施策をつくり実行していく中で、割と嫌われ役であることに気づき対応するために信念を曲げないように12年を過ごしてきました。思い起こせば迷いの中で進めてきたやり方こそが、企業のWSDの皆様が必要としていることだと思っています。いま、迷いの中で活動されている皆様に具体的施策を提供したいと考えています。

対談
  

SSTこれから多くの企業が松尾さんのノウハウを求めると確信しています。次は、ユーザのよくある声(課題)についてアドバイスのほどよろしくお願いします。まず、最初は「何から始めれば良いか分からない」です。これはSST設立時以来継続して耳にします。

    

SSS情報資産やその管理状況を把握することが第一です。そこからリスクを測り、どの順番で施策を講じるのかを計画することです。ただし、正攻法で進めるととても時間とお金のかかるリスクマネジメントをすることになります。まずは、絞り込んでいくことが大切です。

SST次によくあるのが、「自社で取り組むべき対策を判断できない」。最近だと、CSIRTを立ち上げるべきかどうかですね。

SSS沢山あって迷っているのでしょうね。その時は、性能の良いもの(コスト当たりのリスク削減効果の高いもの)から順番に手をつけていきます。

またCSIRTは、情報セキュリティ施策の特効薬ではないと考えます。多くの場合は、会社の中で活動(資金決裁が下りやすい大義名分にできる)の容易性を上げるか、会社内での活動の旗印にしやすいということではないでしょうか。現在、小さな組織で自由自在に動けるなら、CSIRTではなく、身軽な状態のまま自由に施策を作って動かしていくことがいいと思います。

対談

SST次は、「インシデントが起きたらどうするべきか、何をしておくべきか」です。

SSSインシデントが起こったことを検知できる環境であることが重要です。多くはインシデントに気がつかない、現場から連絡が来ない状態です。

まずインシデントの定義をすることと、連絡体制を作ることが肝心です。次に、定義したインシデントごとに集合する人を決め、発生した場合にどのような対外的な対処が必要かを検討します。特に技術的な対処が必要な場合は、ケースバイケースなので、役者(現場の担当者)が不在にならないように日ごろから連絡ルートを確保しておきます。

また、注目を浴びるイベントや金銭的なやり取りをするシステムでは、明示的に攻撃が多くなる傾向にあります。

会社の中にあるシステムの対策レベルに強弱をつけて、攻撃モチベーションがあがると考えられるシステムやイベント時には、先に手当てをしていく方法などがあります。

次回へつづく
2015年10月9日更新

プロフィール

乗口 雅充(のりぐち まさみつ)

株式会社セキュアスカイ・テクノロジー
取締役会長 乗口 雅充(のりぐち まさみつ)
Facebook

1962年、福岡県生まれ。1986年鹿児島大学工学部卒業後、株式会社リクルート入社。1997年某ネットワーク・インテグレーターのセキュリティ事業を担当し、2006年株式会社セキュアスカイ・テクノロジーを設立し、代表取締役を務める。同社にて、2018年3月より取締役会長に就任。

松尾 秀樹(まつお ひでき)

株式会社セキュアシステムスタイル
代表取締役 松尾 秀樹(まつお ひでき)
Facebook

1986年リクルート入社、コンピュータタイムシェアリング事業でスパコンの設置/運用。1993年SI事業へ出向、大手クライアント技術支援。2002年システムセキュリティ担当、Webサービスの施策展開。2014年リクルート退職、株式会社セキュアシステムスタイル設立、代表取締役。「企業のセキュリティ担当者を支援するサービス」開発・提供中。

今までのコラム

Webセキュリティをざっくり理解するための3つのMAP

Page Top