サイバーセキュリティの脅威が高まる中、企業や組織は何を重視して対策を練るべきだろうか。そして、何を守り、どこまでの攻撃・被害を想定して訓練しておくべきか。
9月12日から15日に開催されたオンラインセミナー「TECH+ EXPO for セキュリティ 2023」では、企業や組織におけるセキュリティの考え方について、セキュリティの専門家5名によるパネルディスカッションが行われた。本稿ではその様子をレポートする。
登壇者
徳丸 浩 氏 EGセキュアソリューションズ株式会社 取締役 CTO 独立行政法人情報処理推進機構(IPA)非常勤研究員 技術士(情報工学部門)
北河 拓士 氏 NTTセキュリティ・ジャパン株式会社 コンサルティングサービス部
根岸 征史 氏 株式会社インターネットイニシアティブ セキュリティ情報統括室 室長
辻 伸弘 氏 SBテクノロジー株式会社 プリンシパルセキュリティリサーチャー
piyokango 氏 セキュリティインコ
「脆弱性が見つかったら対応すれば良い」という考え方はNG
まず、徳丸氏は脆弱性対応について、現在の問題意識をこう語った。
「私がセキュリティの仕事を始めた約20年前は、脆弱性診断と言うと、スキャナをかけて脆弱性が見つかったら修正するというものでした。しかし、脆弱性はスキャナで必ず見つかるものではない上に、サービスに影響があるため、パッチを当てたくないという心理が働くのは、今も昔も変わらない事情だと思います」(徳丸氏)