M＆Kのセッション「セキュリティ対策の基本！現状の把握と是正・技術的安全管理策と継続的な管理プロセスの立案方法」では、監査・診断、是正計画の策定、実施のサイクルで進める是正対策の概要を分かりやすくレクチャー。スピーカーを務めたのは、上級コンサルタントの矢口晃司氏である。


　矢口氏は、「セキュリティ対策を考えるには、範囲を明確にしてからリスクアセスメントを行うことが重要だ」と指摘。理想（to-be）と現実（as-is）を明らかにしてから是正計画を策定し、監査・診断、対策策定、実施のサイクルを継続して進めるよう促した。

　「脅威とは、データやシステムに損失を与える要因のこと。リスクとは、その脅威によって損失が生じる可能性を意味する」と矢口氏。情報セキュリティ脅威は技術的脅威、人的脅威、物理的脅威の三つに大別でき、さらにそれぞれ意図的脅威と偶発的脅威が存在すると説明した。

　損失の可能性を評価するリスクアセスメントは、セキュリティ診断の結果に基づいて行うのが一般的だ。セキュリティ診断の代表的なものは、脆弱性診断、ペネトレーションテスト、コンプライアンス診断の3種類。脆弱性診断の主な手法は、エンジニアによる手動診断とツールによる自動診断の2種類。ペネトレーションテストでは、専門のエンジニアが擬似的な攻撃を仕掛けてシステムの耐性を評価。コンプライアンス診断は、業界標準のベストプラクティスへの適合度の調査だ。

　リスクが可視化できると、具体的な是正措置を策定できるようになる。ネットワーク、ソフトウェア、IT機器の設定見直しや、ソフトウェアのアップデート、セキュリティパッチの適用などが主な実施内容。Webアプリケーションについては、プログラムを改修するのが望ましいが、困難な場合はWebアプリケーションファイアウォール（WAF）などで対応するのも効果的。ゼロトラスト思想に基づく多層防御を実現するのなら、EDR／XDR、IT資産管理、端末制御、ネットワーク制御、二要素認証などの仕組みの導入も検討する必要がある。

　ただ、このようなプロセスの検討、運用を自社で完結できる企業は少ない。「セキュリティ対策製品やサービスを選ぶ際は、導入障壁の低さ、実行性の高さ、利便性、管理負荷、運用負荷への影響を基準にするとよい」と矢口氏は勧めた。

　M＆Kでは、これら一連のセキュリティ対策に関するコンサルティングからセキュリティ診断サービス、日々の運用をより強固にするインテグレーションサービスや教育支援サービスまでワンストップで提供しており、年間500サイト、延べ5000社の実績を保有している。