叡智の三猿

三猿 × 情報セキュリティ × はてな で発信します。

「セキュリティインシデント年表」から

セキュリティインシデント数の推移から

一般社団法人 JPCERT コーディネーションセンターでは「セキュリティインシデント年表」を公表しています。

公表データをもとに年代別のインシデント報告数を棒グラフで表示し、移動平均でプロットしてみました。

f:id:slowtrain2013:20200919215949p:plain
年別セキュリティインシデント報告数

このグラフを見ると2009年頃から、インシデント数が急増し、2013年から2014年にかけてピークに達し、その後は緩やかな下降をしているように感じます。

インターネット革命は2000年にははじまっていますが、インシデントが2009年から急増したのは ー

  1. 組織の情報処理システムがネットワークを経由したオンプレミスから、クラウドコンピューティングに変化したこと。
  2. スマートフォンが普及したこと。

f:id:slowtrain2013:20201113160043p:plain:w300
に、関係しているように思います。

2000年代のはじめに普及したネットワークコンピューティングは、Webブラウザを使ったアプリケーションが、社内イントラネット上に構築され、社内に設置したサーバで処理を集中させる方式です。

2010年頃からのクラウドコンピューティングは、自社でサーバを保有することなく、世界中に分散するサーバーのリソースをサービスとして利用するモデルです。

クラウドコンピューティングの登場により、ユーザー企業は、IT投資コストの負担が軽減されます。大企業のみならず、中小企業も基幹システムの投資が容易にできるようになりました。

更にスマートフォンを含むモバイルでのシステム利用が可能となり、グループウエアやワークフロー等のツールは、いつでもどこでも使えるようになりました。スマホは個人所有が圧倒的で、それを会社業務で使用することは禁止されていました。しかし、BYOD(個人用端末の業務利用)が進み、自分が普段使っているスマホを仕事でも使える社員が増えています。

f:id:slowtrain2013:20200919222939p:plain
ネットワークコンピューティングとクラウドコンピューティング

情報セキュリティの組織体制

クラウドスマホは利用者に多くの利便性をもたらしました。その手軽さから、セキュリティインシデントを増発させるマイナス面をももたらしました。

利用者にとって、ITは使えることが第一です。情報セキュリティはその先のテーマというのが実情だと思います。

インシデントの急増に対して、セキュリティを確保するための組織体制の課題が浮き彫りになりました。

たとえば、2014年7月に起きたベネッセの「個人情報漏えい事故」の調査報告書には以下のように記載されています。

ベネッセグループにおいては、情報セキュリティに関するグループ全体の統括責任者が必ずしも明確に定められていなかったとともに、情報セキュリティについてグループ全体で統括的に管理を行う部署が存在しなかった。
〜「2014 年9 月25 日付:個人情報漏えい事故調査委員会による調査結果のお知らせ(株式会社ベネッセホールディングス)」より

こうした情報セキュリティの組織の問題を解決するためには、CSIRT(Computer Security Incident Response Team)によるインシデント対応だけでは不十分であり、CSIRTを取りまとめる役割でもあるCISO(Chief Information Security Officer)の設置が加速しました。

CSIRTとは

  • CSIRT(Computer Security Incident Response Team)は「コンピュータセキュリティに関する事故対応チーム」のことです。情報システムのおけるセキュリティの問題に対応するために、専門のスタッフにより編成されたチームです。

CISOとは

  • CISO(Chief Information Security Officer)は企業における情報セキュリティを統括する責任者です。従来はCIO(Chief Information Officer)がセキュリティの責任者を兼ねることが多かったのですが、セキュリティリスクが高まっていることとから、CIOとは別にCISOを設置する企業が増えています。

CISOの責任の元で、CSIRTがインシデント対応をする流れが出来たことで、組織のセキュリティ対策は強化されたと思います。それが、 JPCERT コーディネーションセンターのインシデント報告数の減少につながっていると思います。

情報セキュリティは、全ての社員のセキュリティ意識の向上と、相互の協力で確保されます。「セキュリティは私の仕事ではない」と、自分の果たすべき役割を他に押し付けてしまう社員が出てはよくないです。