2016 年 11 月 29 日 編集部記事

デジタル社会の現代は、中小企業の活躍の場が多様化し、新たなビジネスチャンスが生まれています。あらゆる企業がデジタルテクノロジーを活用して繋がるようになったことで、中小規模企業（SMB）は、大企業にはない多くのセキュリティの課題に直面するようになりました。これらのリスクが時間と共に解決されるものではないことを認識し、情報セキュリティという試合においても、各自がサッカーチームの各ポジションと同様に自らの役割を果たすことが重要です。

Help Net Security に掲載された新しい記事で、ウォッチガードの情報セキュリティ脅威アナリストである Marc Laliberte が、サッカー選手のポジションに例えて、SMB の情報セキュリティにおける役割を次のように説明しています。

• ストライカー：SMB では、ストライカーはエンドユーザに相当します。会社が目指すゴールに向かって前進する原動力となります。ところが、時には、ストライカーが失敗して敵から攻撃されてしまうこともあります。SMB に置き換えると、メールに添付された不正ファイルを開いてリンクをクリックしたことで、オンラインサイトが感染したり、トロイの木馬を含むアプリケーションがインストールされてしまったりした場合がこれに相当するでしょう。
• ミッドフィルダー：SMB の「ミッドフィールド」は、IT サポートのスタッフで構成されます。稼働中のシステムを常に観察し、最新のパッチを適用してシステムを最新の状態にすることが重要な仕事です。
• ディフェンダー：ディフェンダーは SMB においては、システム管理者やネットワーク管理者、あるいは大規模組織であればセキュリティ管理者に相当します。安全なネットワークを設計し、実装することが最大の使命です。また、クリティカルシステムをメインのネットワークから分離して、死守すべきエリアに攻撃者が侵入しないようにする必要があります。
• ゴールキーパー：本物のサッカー試合を観戦すると、ゴールキーパーがチームメイトに声をかけているのをよく目にします。こういったやり取りは、SMB にとっても重要です。情報伝達はチームを機能させる重要な要素であり、どのポジションのメンバーも、セキュリティの問題につながる可能性のある出来事に常に目を光らせる必要があります。
• 監督：強いチームには強いリーダーシップが不可欠です。SMB においては、IT 部門や他部門の最高責任者が監督の役割を果たし、サッカーチームで監督が相手チームとの試合の戦略を決めるのと同様に、脅威を特定して防御するための全社的戦略を立てる必要があります。SMB の場合、これらの戦略は、組織内での情報セキュリティのためのテクノロジーの活用方法や各自が果たすべき役割を全社的なポリシーとして作成し、実装することに相当します。

一人のスター選手だけではサッカーチームが優勝できないのと同様に、情報セキュリティの目標も一人の社員や部門だけでは達成できません。SMB のセキュリティにおいては、チームの全員がそれぞれの役割を果たすことが、リスクを最小化する最善策です。

詳細は、Help Net Security の記事全文をご覧ください。