こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
KDDI株式会社は12月11日、KDDIグループの情報セキュリティに関する活動を紹介する「サイバーセキュリティアニュアルレポート2023」を公開した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】2018年から個人情報の漏えいが一切なかった企業から、そのセキュリティ施策が発表されています。今回は、個人情報漏洩がゼロだった企業グループがサイバーセキュリティで重視しているポイントと、個人がインターネットを利用する際に参考になる視点について説明します。今回のレポートでは重視している視点として、ガバナンス、技術、サービスの3つが挙げられています。セキュリティ施策として、情報セキュリティマネジメント体制や社内規程、セキュリティ強化に向けた監視技術、サイバー攻撃対策、デジタルサービスの不正利用対策などが挙げられています。その他には、情報セキュリティ委員会による情報セキュリティ推進者会議などの設置、ISMS認証の取得、監査、人財育成など、様々な施策が挙げられています。
・ガバナンス
自社とグループ企業のガバナンス向上が挙げられています。AIガバナンスの整備やISMS運用のDX化、グループ企業のガバナンス強化によって、最新のテクノロジーについて正しく使われるためのガイドラインだけでなく、グループ企業に対するサプライチェーンリスクも考慮したセキュリティ施策が実施されているのではないかと考えられます。
・技術
セキュリティ監視の高度化や先端的セキュリティ技術の開発が挙げられています。サイバー攻撃の予兆可視化や脅威情報プラットフォームの構築などにより、最新の脅威にも対応できるセキュリティ施策が実施されているのではないかと考えられます。
・サービス
サービス不正利用の抑止やセキュリティソリューションの強化が挙げられています。フィッシングサイト検知精度の向上や不正利用の検知高度化などによって、これらの被害を未然に防ぐセキュリティ施策が実施されているのではないかと考えられます。
情報セキュリティ関連規範の遵守と適切な運用を確認するために、「システムセキュリティ監査」「ISMS内部監査」「業務委託先監査」これら3つの監査は有効に機能することが考えられます。
例えば、自分で決めた目標に対してルールを決めたとしても、思った通りの結果にならないこともあるのではないでしょうか。具体的には、週に何回ジムに行くとか、おやつは1日何個までとか、ルールを決めただけでは、自分が望む結果が得られない場合があるということです。期待通りの結果を得るためには、それらのルールが適切に守られているか、本人以外の誰かが定期的にチェックすることが有効かもしれません。
セキュリティ対策も同様に、導入して終わりではなく、適切に運用されているところまで確認することが必要です。そのために、様々な切り口から監査を行うことで、その有効性を定期的に評価することが求められます。
レポートを見てみて1つでも試すことができそうな施策があれば、組織のセキュリティを向上させることができるかもしれません。最初からすべての施策を実行しようとせず、まずはできることから実施してみることが重要です。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ