ITの活用で働き方を変える!スマートワーク総研は、ITを活用したワークスタイルの変革を応援する法人様向けサイトです。 スマートワーク総研とは?

新規登録
MENU

スマートワーク総研

このエントリーをはてなブックマークに追加

2019/08/29

働き方改革のキーワード - 第19回

7pay問題でも注目集める――「NIST」って何?


検知・対応・復旧まで網羅した備えを

日本のIT業界を震撼させた7payを巡るセキュリティ問題。ITガバナンスの再構築を迫られるいま、注目を集めているのが、アメリカ国立標準技術研究所(NIST)が定めたセキュリティ要件(CSF=サイバーセキュリティフレームワーク)。改革すべきは「起きてしまった後」の対応だ。

文/まつもとあつし


業界に衝撃を与えた7pay問題

 7月、日本のIT業界に衝撃を与えたのがセブン-イレブンが提供するQRコード決済「7pay」を巡る問題でした。サービス開始からわずか2日で不正利用が発覚、チャージや新規登録を中止するも、サービスそのものは停止せず疑問の声も上がりました(その後、9月30日をもってサービス終了を決定)。7payを運営するセブンペイ社長が会見で記者から「2段階認証」について聞かれたにもかかわらず、その意味が理解できていないような対応をしたことに驚いた人も多かったはずです。

 パスワードリセットの手順に重大な不備があったこと、それを開発段階で気付くことが出来なかったとは考えにくく、どこかでコミュニケーションの問題、現場からの警告を適切に受け取ることができないガバナンス(統治プロセス)の問題があったのではないかと指摘されています。

 筆者が関わる様々な組織でも、残念ながらIT、特にセキュリティに関わる認識は古いままであると感じさせられることは少なくありません。いまだに「オンプレミスの方が安全でコストパフォーマンスも良い」という主張を耳にしますし、オフィスでパスワードが書かれた紙が壁やモニターに貼られているのを見かけることもあります。セキュリティインシデントは「起こってはならないもの」という認識は浸透しているものの、「起きたらどうするか?」について驚くほど備えが何もない現場が数多く存在しています。

問題を受けて公開されたID・パスワードに関する注意喚起。現在では総務省も不要という方針を示している「パスワードの定期的な変更」など古い手法が推奨されており、引き続きセキュリティに対する姿勢が問われることに。

 消費税増税に伴う景気対策として国も、キャッシュレス決済に力を入れる方針ですが、今回のような問題が日本を代表する企業が立ち上げたサービスで起こったことは、改めて日本のITガバナンスのあり方が根底から揺るがされたと言えるでしょう。

ISMSはもはや時代遅れ

 このような状況を変えるにはどうすれば良いのでしょうか? いま注目を集めているのがアメリカ国立標準技術研究所(NIST)が定めたセキュリティ要件(CSF=サイバーセキュリティフレームワーク)です。

NIST Cybersecurity Framework Version 1.0資料。アメリカ国立標準技術研究所の公式webサイトより。

 NIST CSFの大きな特徴は、企業・組織がセキュリティ対策を向上させるための要件として、「特定」「防御」に加え「検知」「対応」や「復旧」を事前に検討し策定しておくことを求めている点です。NIST CSFは米国政府に製品やサービスを納入する業者にその対応が求められており、要件を満たさない部品などが含まれていると調達先として認定されません。そのため、直接の納入事業者だけでなく、広くサプライチェーン全般にその遵守が求められているのです。米国のサイバーセキュリティ水準を大きく押し上げることを狙ったものとも言えるでしょう。

 これまで日本国内では、ISO 27001(JIS Q 27001)で規定されているISMS(情報セキュリティマネジメントシステム)をターゲットとして、セキュリティ対策を策定していることがほとんどでした。しかし、ISMSが規定しているのは漏洩を防ぐ「機密性」、改ざんや削除を防ぐ「完全性」そして、システムやドキュメントの利活用度合いを高める「可用性」の3つです。NIST CSFがサイバーセキュリティはいわば「破られるもの」として、いかにそれを早く検知・対応し、復旧を図るかまでもが視野に入っているのに対して、ISMSは備えとしてはもはや不十分だと言わざるを得ません。現実問題として、7payのみならずセキュリティインシデントは毎日のように起こっており、それらを完全に無くすことなどできないからです。

 たとえ国内で事業を行っている企業であっても、サプライチェーンを通じて米国との取引が間接的に生じていることは珍しくありません。NIST CSFが定める要件を確認し、対策を取っておくことが全ての企業に求められるセキュリティ対策なのです。

貴社の「セキュリティ強化」を促進するソリューションは
「ソリューションファインダー」で見つけられます!

 貴社に必要なソリューションを簡単に検索できる「ソリューションファインダー」なら、働き方改革に適したソリューションもたくさん見つけることができます。詳しい使い方はこちらから!

筆者プロフィール:まつもとあつし

スマートワーク総研所長。ITベンチャー・出版社・広告代理店・映像会社などを経て、現在は東京大学大学院情報学環博士課程に在籍。ASCII.jp・ITmedia・ダ・ヴィンチニュースなどに寄稿。著書に『知的生産の技術とセンス』(マイナビ新書/堀正岳との共著)、『ソーシャルゲームのすごい仕組み』(アスキー新書)、『コンテンツビジネス・デジタルシフト』(NTT出版)など。

このエントリーをはてなブックマークに追加

スマ研おすすめ!!

ピックアップ

ランキング

スマ研おすすめ!!

お気に入り機能を使うには会員登録が必要です。

資料をダウンロードするには会員登録が必要です。