IIJ Europe主催のサイバーセキュリティ対策セミナーにて登壇

エムオーテックスの米国法人であるInterfocusは、パートナー企業IIJの欧州拠点であるIIJ Europe主催のサイバーセキュリティ対策セミナーに、セミナー講師として登壇しました。これは欧州現地の日本人コミュニティ向けに開催されたもので、Interfocusはチェコ共和国のプラハでのセミナーに参画させていただきました。

不正なプログラムによってファイルが意図せず暗号化され、復元するには金銭を要求されることがある、ランサムウェアと呼ばれるプログラムを使った攻撃や、会社情報の漏えい事件、また今年5月に開始した欧州の一般データ保護法 GDPRなど、セキュリティ周りで注目されるトピックが多数ある中での開催でした。

セミナーでは、先に挙げたトピックの対策として関連の深い、メールセキュリティ、ウェブセキュリティ、そして会社内部のセキュリティ対策について、具体的な事例を交えながらの講演となりました。Interfocusからは、LanScopeソリューションの中でも、特に会社内部のセキュリティ対策に焦点を当ててお話させていただきました。

▲セミナーの模様：日本食レストランにて、机を囲んで行いました

講演内容のご紹介

Interfocusの講演内容を少しご紹介します。会社の競争力につながる、情報をいかに守っていくか。十数年前であれば、会社の中と外を分ける境界線を築き、そこを守っていけば何とかなった。それは、情報にアクセスするコンピュータや機器はその境界線の中にあり、社員やパートナーは、その場所において仕事をしていけばよかったからであった。

一方、現在は、個人のモバイル端末から会社情報にアクセスが可能で、また以前に比べると、情報のシェアや外部インターネットサービスの一つであるクラウドストレージなどに、利便性を求めて保存をすることが大変容易になった。またソーシャルネットワークなど、情報が外に公開されていく機会が非常に増えた。これらは、会社の中という境界線の外で行われることでもあり、つまり今や社員こそが、会社情報を守る境界線であると言えそうだ。

セキュリティの境界線である、社員を含めた対策を実施するにはどうすればよいか。

このような問題提起をきっかけとし、会社内部から情報が出ていくきっかけとして考えられる内部不正や事故（紛失や情報の誤送信など）がどのように起こるのか、その対策としてどのようなアプローチが有効か、またセキュリティ対策を社員全員で一緒に実施していくこと（セキュリティ対策の自分ごと化）の有効性などをディスカッションした。

LanScopeで実現できる、社内ネットワークの見える化は、ハードウェア資産やその中に存在するファイル・ソフトウェアの見える化＝ログ取得に始まり、それらがどの程度動いているのか、また社員がどのように使っているかまで見える化が可能だ。このログは、その会社独自のものであり、どのようなセキュリティ対策から優先して始めるかという点や、トレーニングに活用することで、社員に現実感を持ってもらうという点で効果がありそうだ。

さらに、GDPRで謳われている情報漏えいの報告 (33条) に関して、72時間以内の報告が要求されているが、情報が漏れたかどうか、どんな情報が、いつ、またその前後の異常な振る舞いなどを報告に盛り込む際に、取得したログの活用が期待できる。

▲セミナースライドより。情報漏えいの報告には、その事実に加え、より具体的な報告を求められることがある。
　
セキュリティ対策を自分ごと化するためには、継続的なセキュリティトピックのコミュニケーションも欠かせない。セミナーの中で、エムオーテックスにて作成した「セキュリティ７つの習慣・２０の事例」のサンプル版をご紹介し、強固なパスワードの作り方などお話させていただいた。この書籍は、絵が面白く、内容が分かりやすいと好評であった。

▲左：「セキュリティ７つの習慣・２０の事例」でおなじみ、茂礼手太朗さんもヨーロッパ進出。写真は筆者近影。
▲右：ばんにゃもヨーロッパ進出（こちらはロンドンにて）

社員全員で行うセキュリティ対策を

開催後のアンケートでは、参加者の多くの方から、具体的でわかりやすかったとフィードバックをいただきました。継続的なコミュニケーションを通じて、社員全員で行うセキュリティ対策は、技術的なセキュリティ対策とともに欠かせない一つと私は考えています。一人でも多くの方がセキュリティ対策を自分ごととして取り組んでいただけるよう、活動を続けて参ります。