Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

PDCAはDCがセットでなければいけない

IBMの調査には日本(大手)企業も含まれていると思いますが、欧米を含めた調査データでこの実施率であれば、ほとんどの日本企業はそれよりも低い実施率であるのは間違いない様です。

www.itmedia.co.jp

 

 米IBMは2019年4月11日(現地時間)、企業のサイバー攻撃への対応に関する調査結果を発表した。同調査によれば、大半の企業がサイバー攻撃を受けた場合の対策を計画しているものの、定期的な検証を怠っているという。

(中略)

 同調査によると、サイバー攻撃を受けてもそれを30日以内に封じ込められるよう対策している企業は、そうでない企業に比べて情報漏えいへの対応費用を平均100万ドル以上節約していた。一方、IBMによれば、サイバー攻撃を受けた場合の適切な対策に必要な費用は、過去4年間にわたって不足しているままだ。

ITmedia記事より引用)

 

■元調査データ 

IBM Study: More Than Half of Organizations with Cybersecurity Incident Response Plans Fail to Test Them - Apr 11, 2019

 

 

◆キタきつねの所感

鶏が先か卵が先かの議論は未だに決着がつかない課題ですが、インシデント対応計画のテスト(検証/

Check)は企業の努力で出来る部分であるが故に、インシデント対応計画が絵にかいた餅になっている可能性が高い結果は残念に思います。

私も仕事で様々な企業の方と話すのですが、「やってないだろうなぁ・・」という企業の方々も結構いらっしゃいます。

セキュリティ対応人員が居ない、予算が無い・・・やらない言い訳は沢山あるのでしょうが、PDCAが廻らないのであれば、時代遅れとなった、あるいは計画が不十分なインシデント対応計画は、実際にインシデントが発生した際に役立つとは思えません

PDCAが廻らないという事は、当然の事ながら、Check(検証)工程で見つかるべき弱点(脆弱性)が出てきませんので、経営層の方々がセキュとリティ予算を組んでくれる事も無いと思います。必然的に悪い状態が続いてしまう(大きなインシデントが発生しやすい状況が続いている)、そんな企業の実情が、このレポート結果に表れていると言えそうです。

もし、多くの日本企業がPlan(計画)で力を使って、力尽きているのであれば、むしろDo(行動)から始めてしまうのが良いのではないでしょうか。更に言えば、Do(計画)とCheck(検証)を必ずセットで行う事で、PDCAのサイクルを強制的に廻すのも手だと思います。

そのためには経営層の理解、あるいは強いリーダシップが必要となりますが、自組織でのDo+Checkであれば、小さく始める事も可能です。その結果をもって経営層を”説得する”、そんなシナリオも有効かも知れません。

 

やらない理由を考えるより、やれる事を考える事、それが大事なのだと思います。敵は社内(自組織)にあるのではなく、外(ハッカー)に居るのです。外部から見れば「侵入(侵害)できる」かどうかが大事なのであり、小さな船の中の「やらない理由」は気にもしてないのだという事を、今一度考えるべきではないでしょうか。

 

 

 ãé¤ãé£ã¹ã人ã®ã¤ã©ã¹ãï¼å¥³æ§ï¼

 

更新履歴

  • 2019年4月18日AM(予約投稿)