ITベンダー23社の連合体で、オープンな技術の普及を目指すオープンガバメント・コンソーシアム(OGC)は2015年7月1日、セキュリティ事故(インシデント)対応のための指針である「組織対応力ベンチマーク」を発表した。
米国で広く受け入れられている文書を、日本のセキュリティ実務者に分かりやすい形式に再編したもの。特に専属のCSIRT(シーサート=セキュリティ事故対応チーム)を持たない規模の中小企業・組織への浸透を狙う。
写真●オープンガバメント・コンソーシアム(OGC)の須藤修会長
OGCの須藤修会長(東京大学大学院情報学環教授)は「マイナンバー制度は、中小を含むすべての企業に厳しい情報管理義務を課している。日本年金機構の情報流出事故に見られるように、サイバー攻撃の脅威も増している。セキュリティ事故に迅速に対処して影響を抑える“ダメージコントロール”が必要。新ベンチマークで後押ししたい」と述べた(写真)。
策定に関わったのは、OGCメンバー企業のうち、NEC、シマンテック、新日鉄住金ソリューションズ、チェンジ、トレンドマイクロ、日本オラクル、ネットワンシステムズ、マカフィーの8社。今回策定した組織対応力ベンチマークは、官公庁や民間企業を含む幅広い組織に適用できる内容だ。ITやセキュリティ大手が、こぞって策定に関与している。
取りまとめを担当したトレンドマイクロ執行役員総合政策担当部長の小屋晋吾氏は、「大規模なセキュリティ事故が相次ぐなかで、守る側の視点は『攻撃を防ぐ』から『攻撃されたときにどうするか』に変わってきている。だが現状では、事故に対応するノウハウが普及しておらず、後手に回って被害が拡大しがち。こうした状況を変える目的がある」と話す。
