日経コンピュータ 2022.2.17号より
日本ハッカー協会代表理事、杉浦孝幸氏のインタビュー記事の中で、日本企業のセキュリティー対策の課題をあげています。
まずは、日本企業を3つに分けています。
1.先端ITを活用してサービスを展開する企業、自社でIT関連技術を販売する企業
2.自社ではIT関連の事業をやっていない、もっぱら活用する側のユーザー企業
3.ITを使っていることすら意識していない企業
その中で、2の企業がどれだけ対応できるかがポイントと言っています。
企業によって、ゼロトラスト環境と境界型防御で守るシステムが混在し、しかも2000年前後のOSやデータベースで構築しているシステムを利用していることが、深刻な状況を作っていると。
また、2の企業が改めるべきセキュリティーの常識として、パスワード認証をあげています。
顔認証や指紋認証の活用、パスワードだとしてもワンタイムパスワードや二要素認証の導入をすべきと杉浦氏は言っています。
体制の話もあり、悪い例として、富士通の「ProjectWEB」の件をあげています。
CISOが非セキュリティー分野で、事態を理解できなかったと指摘しています。
システム全体の安全性を高める上で、課題は多いですが、重大なインシデントに対応できる組織作りを優先するのがいいというが杉浦氏の考えです。
日本ハッカー協会代表理事、杉浦孝幸氏のインタビュー記事の中で、日本企業のセキュリティー対策の課題をあげています。
まずは、日本企業を3つに分けています。
1.先端ITを活用してサービスを展開する企業、自社でIT関連技術を販売する企業
2.自社ではIT関連の事業をやっていない、もっぱら活用する側のユーザー企業
3.ITを使っていることすら意識していない企業
その中で、2の企業がどれだけ対応できるかがポイントと言っています。
企業によって、ゼロトラスト環境と境界型防御で守るシステムが混在し、しかも2000年前後のOSやデータベースで構築しているシステムを利用していることが、深刻な状況を作っていると。
また、2の企業が改めるべきセキュリティーの常識として、パスワード認証をあげています。
顔認証や指紋認証の活用、パスワードだとしてもワンタイムパスワードや二要素認証の導入をすべきと杉浦氏は言っています。
体制の話もあり、悪い例として、富士通の「ProjectWEB」の件をあげています。
CISOが非セキュリティー分野で、事態を理解できなかったと指摘しています。
システム全体の安全性を高める上で、課題は多いですが、重大なインシデントに対応できる組織作りを優先するのがいいというが杉浦氏の考えです。