トップページ > 施策のご案内 > 情報化推進 > 関西サイバーセキュリティ・ネットワーク > 2020年サイバーセキュリティ月間企画 > vol.11 情報通信研究機構 ナショナルサイバートレーニングセンター サイバートレーニング研究室 衛藤 将史 室長
最終更新日:令和2年2月18日
2005年、国立研究開発法人情報通信研究機構(NICT)に入所。以降、2016年まで同機構サイバーセキュリティ研究室 研究員。2017年から現職。ネットワーク運用管理技術、NICTER プロジェクト、IPv6セキュリティ、ITSセキュリティなどサイバーセキュリティ関連技術の研究開発、国際標準化、人材育成に取り組む。2007年 暗号と情報セキュリティシンポジウム (SCIS) 論文賞、2009年科学技術分野の文部科学大臣表彰(科学技術賞)等を受賞。博士(工学)。
― 経営者の方に知って欲しい考え、あるいは、心得を挙げるとすれば何でしょうか。
「幅広いセキュリティ分野の中でも、既にある程度成熟している領域があります。例えばセキュリティインシデントが発生した際の初動対応手順や、組織内にどのようなリスクがあるのかを分析する手順等については、いわゆる『マニュアル』が既に出来上がっています。経営者の中には、セキュリティについて目に見えない漠然とした不安という感覚をお持ちの方が多いと思いますが、本当はそうではなく、今はどういう脅威があって、どういうリスクや被害に繋がるかということを整理する手立てが用意されています。セキュリティの分野は特殊で専門的だという先入観を持ちやすいかもしれませんが、既に世の中は、セキュリティ分野の基本的な対応手順を皆様に理解していただけるフェーズになっているのです。」
― そのような「マニュアル」をどのように学べば良いでしょうか。
「世の中には大変良くまとまった『ドキュメント』があり、例えば、IPA(独立行政法人 情報処理推進機構)の『中小企業における組織的な情報セキュリティ対策ガイドライン』や、NISC (内閣サイバーセキュリティセンター)の『小さな中小企業とNPO向け情報セキュリティハンドブック』といったドキュメントでは、企業のセキュリティ対策について気を付けるべきポイントやチェックリストなどが、非常に端的にまとまっています。お忙しい経営者の方が要点を把握する意味では、これらのドキュメントは、大変参考になると思います。さらに、NICT が総務省と共に実施している『実践的サイバー防御演習 CYDER』においても、セキュリティインシデントへの初動対応を実機による実技も交えながら、一日で学ぶことができます。」
― 組織はセキュリティ分野についてどのように経営・投資判断をすれば良いでしょうか。
「例えば、製造業において物の価格を決める基準が明確化されているように、セキュリティ分野でも、ある領域においては基準が明確化されているものがあります。例えば、リスク管理という領域では、企業の中にどのような『情報資産』があるかを整理した上で、機密性・可用性・完全性の基準を当てはめていくことで、その情報資産にどのくらいの『資産価値』があるのかが分かります。目に見えない『情報資産』の価値をベースとして、組織にどのようなリスクがあり、それを守るための『費用』がどのくらいかかるかを算定出来ますので、企業内の体制づくりや投資の判断基準になると言えます。 セキュリティ対策はなかなか理解しづらい領域ではありますが、このような評価基準や先述のマニュアル等がすでに整備されていますので、そういった既存の知識を活用して、適切に対策を進めていただきたいです。」
近畿経済産業局 地域経済部 次世代産業・情報政策課
住所:〒540-8535 大阪市中央区大手前1-5-44
電話番号:06-6966-6008
FAX番号:06-6966-6097