catch-img

セキュリティもしくは多様性 ~デジタル時代のセキュリティで大切な思考~

「セキュリティ」と「多様性」、一見結びつかないように見えるこの2つのキーワードですが、今回は「多様性」の理解が今日の「セキュリティ」を考えるうえで重要であるという話です。

セキュリティと多様性

「多様性」とは何かについてはテーマが広いため、まずは以下のブログをご覧になって頂ければと思います。

  ダイバーシティ | 人材育成のトレノケート【公式ブログ】 | トレノケート公式ブログ 多様な考え方を育むには、どのようなことに気をつけたら良いのかを紹介します。また、多様性(ダイバーシティ)の成果についても紹介します。 トレノケート公式ブログ


記事の冒頭の「9+6=3は正しい?」の問いをご覧になって頂くと、中にはピンとくる方もいらっしゃるも知れません。ベストな対策だと思ったものが関わる組織や人々によっては不十分であったり過剰であったりした経験はないでしょうか。現実的で受け入れやすいセキュリティ対策の実現が難しい理由は多様性が考慮されていないことが一因となっている可能性があるかも知れません。

 

「IoTセキュリティ・セーフティ・フレームワーク」の中の多様性

経済産業省は2020年11月5日、「IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)」を発表しました。これは2019年4月に同省が発表した「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)」のフィジカル空間に当たる「第1層」とサイバー空間に当たる「第3層」が接続される「第2層」にフォーカスしたフレームワークで、社会のデジタル化の深化によって目指される「Society 5.0」をセキュアに実現するために考察されたものです。

security_d_002-1

※出典:IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)を策定しました (METI/経済産業省)



IoT-SSFでは幾度も「多様性」に言及していますが、基本構成の背景にある考え方として以下のように定義しています。

サイバー空間とフィジカル空間をつなぐ新たな仕組みには様々な形態及びそれに伴うセキュリティ上の課題があり、更に、実際にインシデントが発生した場合の被害の態様も極めて多様である。そのような仕組みを構成する機器・システムに対して一律のセキュリティ要求を設定した場合、仮にその要求が満たされていても、それでは多様なセキュリティ上の課題に十分に対応することはできない。すなわち、利用者等が適切に守られる状況であるとはいえない。

第2層のセキュリティ対策を検討する際のポイントは、この多様性に対してどのようにアプローチするのか、ということである。

 

デジタル化によってサイバー空間(コンピュータネットワーク側)とフィジカル空間(現実空間側)との相互のデータ連携が増加すると、この多様性を意識したセキュアな環境の持続が大きな課題です。自組織で抱える新技術を利用したシステムについてCPSF、IoT-SSF等を参考にしながらセキュリティ対策を考察していくと意外な盲点が見えてくるかもしれません。

 

セキュリティにおける多様性の理解

多様性はそれを正しく理解し、さらに生かすことが重要だとされています。そのためには、まずは正しく(自身との違いを)知ることが必要です。

一方、セキュリティ対策における多様性の理解とは、一言で言えば、保護対象となるシステムやサービスの全体を詳細に理解することですが、広範なビジネス領域を想定した対策はセキュリティ専門家だけでの実現は困難です。

そのため、利用者も含めたシステムに関わる全ての方がセキュリティの基礎知識を身に着けたうえで、各々の専門性を背景に必要なセキュリティ対策をセキュリティの専門家を交え、実装出来るような環境を用意しておくことが効率的、かつ効果的だと言われています。組織全体でセキュリティのリテラシーを上げていくことは企業価値の向上にも繋がりますので早めの着手がお勧めです。

経済産業省は2020年11月9日、企業がDX(デジタルトランスフォーメーション)の取り組みを進めるにあたり、経営者に求められる企業価値向上に向け実践すべき事柄を「デジタルガバナンス・コード」として発表しました。そこには情報処理促進法に基づく認定制度(DX 認定制度)についても触れてあり、認定基準の1つにセキュリティが挙げられています。

戦略の実施の前提となるサイバーセキュリティ対策を推進していること。

出典:デジタルガバナンス・コード(経済産業省)

 

防犯対策と同様、セキュリティ対策が遅すぎるということはありません。

複雑化する環境においてはセキュリティの知識と多様性の理解をうまく活用しながら、組織にあった戦略的で現実的な対策を考えていく必要がありそうです。

 

あわせて読みたい

  EC-Council CEH v10 (Certified Ethical Hacker:認定ホワイトハッカー)】資格取得体験談 | トレノケート公式ブログ CEH (EC-Council Certified Ethical Hacker) はホワイト(ハット)ハッカーに必要な攻撃の技術のみを総合的かつ体系立てて学んでいることを証明する国際的な資格です。CEH v10の受験体験とその注意点をお伝えします。 トレノケート公式ブログ

 

  情報セキュリティサービス基準とは【セキュリティお仕事図鑑 第一回】 | トレノケート公式ブログ セキュリティ事業者を選定する指標の例として「経済産業省の「情報セキュリティサービス基準」についてご紹介します。 トレノケート公式ブログ

 

セキュリティ関連トレーニング

トレノケートでは、これからセキュリティに携わる方への基礎的なコースから、セキュリティを専門に扱う技術者の方が最新技術に対応するための学びなおしや資格取得を目的としたコースなど、幅広いコースをご用意しています。ぜひご活用ください。

security_d_002-banner

 

井田 潤(いだ じゅん)

トレノケート株式会社 プロダクト開発室。ISC2 Certified Information Systems Security Professional (CISSP) / EC-Council Certified EC-Council Instructor (CEI) / EC-Council Certified Ethical Hacker (CEH) / CompTIA Certified Technical Trainer (CTT+)他。 通信プロトコルに興味を持ち、ネットワーク系SIerからキャリアをスタート。 外資系セキュリティベンダ等にて数多くのセキュリティ関連プロジェクトに参画後、2016年にグローバルナレッジネットワーク株式会社(現トレノケート株式会社)に入社。新規事業開発、DX、デザイン思考、セキュリティ関連コースの企画・開発、実施などを手掛ける。 一般財団法人日本サイバーセキュリティ人材キャリア支援協会(JTAG財団)企画運営統括委員、日本ネットワークセキュリティ協会(JNSA)教育部会産学連携プロジェクトメンバー 、国立研究開発法人情報通信研究機構(NICT)CYNEX アライアンス CYROP ボードメンバー。著書に「ポケットスタディ 情報セキュリティマネジメント 頻出・合格用語 キーワードマップ法 テキスト&問題集258題(秀和システム)」がある。

無料ダウンロード

オススメコンテンツ

オススメ記事

プロジェクトマネジメント PMP AWS ビジネススキル Microsoft PMBOKⓇ 田中淳子 IT資格 人材育成 山下光洋 AMA Azure コミュニケーション 人材開発用語集 PMBOK®ガイド入門 クラウド ITスキル 新入社員 横山哲也 PMP試験問題に挑戦 re:Invent セキュリティ 人材育成応援ラジオ DX Cisco PMBOKⓇガイド 第6版 試験体験記 イベント・セミナー PMBOK®ガイド第6版の変更点 人材開発 CCIE CCNA テレワーク ネットワーク リモートワーク 研修 AI(人工知能) GCP PMP(R)試験問題 第6版対応 PMP合格体験記 Windows Server AWS_Q&A Active Directory IT人材 IT資格解説 アセスメント デジタルビジネス ヒューマンスキル リーダーシップ 人気コースランキング 大喜利 部下の育成 Conversations PMの心得 キャリア グローバル人材 新入社員研修といえば DX人材育成 IoT OJT reinvent2022 CCNP Security Windows PowerShell クリエイティビティ プログラミング リスキリング 人材トレンド 試験対策問題 PMP試験対策一問一答 コーチング プロジェクト プロトタイプビルダー 1on1 AWS_DiscoveryDay AWSトレーニングイベント GCP無料セミナー Google Cloud Google Cloud Platform G検定 ITインフラ oVice アワード クリティカルシンキング サンプル問題 ステークホルダー ダイバーシティ ディープラーニング ワーケーション 自律 試験Tips AI人材 Linux PMI Power Platform Python Teams Web会議 kintone アイデア