マクニカ
イベント/コミュニティ 2025.01.16

2024年を振り返るセキュリティト~ク ~情報セキュリティコミュニティ Meetup Vol.0 東京版・名古屋版活動レポート~

3行でわかる本記事のサマリ

  • 情報セキュリティコミュニティの初回Meetupで、業界の課題や取り組みを共有し、意見交換を実施
  • 2024年のセキュリティニュースを振り返り、インシデントが起きた時の社内体制、予算確保、ROIの見せ方等について議論
  • オープンソース安全性確保、サプライチェーン対策、BCPの観点での体制作り、セキュリティ関連記事は一次ソースを確認すべき、などの議論が交わされた

目次

  1. はじめに
  2. 2024年のセキュリティ関連ニュース振り返り
  3. セキュリティ関連ニュースからの学び
  4. 各社の取り組みや感想、課題、悩みのシェア
  5. まとめ

1.はじめに

こんにちは!マクニカ情報セキュリティコミュニティマネージャの福地です!

企業のセキュリティ従事者向け『情報セキュリティコミュニティ※【東京版】【名古屋版】』を立ち上げることになり、初回のMeetup Vol.0を12月に東京・名古屋で開催しました! 

※情報セキュリティコミュニティ:企業のサイバーセキュリティを担う立場の人たちが集まり、情報交換を行うことで、セキュリティ担当者の悩みの解決&各企業のセキュリティ対策をより強固にしていくことを目指すコミュニティ

当日は、ご参加いただいた皆様の自己紹介を含むライトニングトークから始まり、2024年のセキュリティ関連ニュースを振り返り・ディスカッションを通して、各企業様の取り組みや課題などについて意見交換を行いました。

本記事では2024年のセキュリティ関連ニュースを振り返り・ディスカッション内容について、まとめたものをお届けします。

▼東京版

Meetup Vol.0 東京版・名古屋版活動レポート1.png

▼名古屋版

Meetup Vol.0 東京版・名古屋版活動レポート2.png

2.2024年のセキュリティ関連ニュース振り返り

2024年度の様々なセキリュティ関連ニュースの中で、多くの方が以下の5つに関心を持っていました。

Meetup Vol.0 東京版・名古屋版活動レポート3.png

関連会社や海外で発生した実例や、ニュースのインパクトの大きさなどから印象に残ると同時に、現代のサイバーセキュリティの複雑さも相まって多くの企業が直面する課題でもあるトピックであったと考えます。

Meetup Vol.0 東京版・名古屋版活動レポート4.png

3.セキュリティ関連ニュースからの学び

上記のトピックについてグループディスカッションを行い、各社学んだことや取り入れたことを共有し合いました。
自社内での事例ベースの発言には参考になる点や共感できる点が多く、頷きながらメモを取っている姿が多数見受けられました。

  • 「オープンソース安全性確保に大きな課題を感じた。導入前にバックドア等に気付ける手段が無いのであれば、問題発覚時に速やかに該当機器を特定できる仕組みが必要そうだ。(SBOMなど)」
  • 「セキュリティの予算が厳しくなる中、有名他社でインシデントが発生した際は自社のセキュリティ向上のチャンスととらえ、セキュリティ予算を積極的に取りにいくようにしている。自社グループだけではなく、取引先等のサプライチェーンも意識しなければならない。」
  • 「セキュリティソフト起因でビジネスが止まるという初めての事件。セキュリティに限らず、単一のソフトウェアに依存しているものが多く、BCPの観点で新たな体制作り(状況報告、収束確認、障害発生時の対処の優先順位など)を考えるきっかけになった。」
  • 「サポート詐欺の注意喚起や教育を行っているが、役員や非ITの職員で未遂が発生。標的型/詐欺メールなども含め、対策が難しい。また、セキュリティ製品の設定を見直したところ一部社員で有効になっていないことも発覚し、設定見直しの必要性を感じた。」
  • 「NISTのパスワードガイドラインが更新された際に、中途半端に書かれた日本語記事から「(定期的な)パスワード変更は不要」という言葉だけ一人歩きして困った。一次ソースを読むことで、「パスワードの定期変更を強制しないこと。ただし、認証情報の侵害があった際は、パスワード変更を強制すること。」と書かれている。一次ソースのチェックは重要。」

4.各社の取り組みや感想、課題、悩みのシェア

最後に各社が抱える課題、悩みについても話し合いました。

  • 「セキュリティ製品の上層部への上申、予算取りのための説明が難しい」
  • 「海外拠点、グループ会社におけるガバナンス統制が難しい」

これらの課題、悩みに対して、

  • 「レッドチームを利用した攻撃演習の利用、他社インシデントを利用した上層部への説明」
  • 「攻撃の総量(年間XX億の攻撃など)に対して守っている割合を見せるとよい」
  • 「リークサイト上にグループ会社の情報が載っていないかを探しに行く活動を行う」
  • 「社内でのリスクシナリオの作成」

といった意見がありました。
コストの面で実現が難しい面もありながら、自社で集められる情報を工夫して活用している例や自社でできる活動を行う意見が見られた議論となりました。

Meetup Vol.0 東京版・名古屋版活動レポート5.png

5.まとめ

積極的な発言・傾聴が多く見られた結果、共感できる部分と新しい発見の双方があったMeetup Vol.0になりました。
今後Meetup回数を増やしていき、より濃密な場を提供できるよう様々なテーマで開催してきたいと思います!

参加者の反応

▼東京

Meetup Vol.0 東京版・名古屋版活動レポート6.png

▼名古屋

Meetup Vol.0 東京版・名古屋版活動レポート7.png

最後に

「情報セキュリティコミュニティ」に是非参加してみたい、という方は以下HPからコミュニティへの登録、お待ちしています!  
※東京・名古屋にも開催地を拡大中!

▼関西情報セキュリティコミュニティHP

pasted-2024.12.09-20.38.29.png

Meetup Vol.0 東京版・名古屋版活動レポート8.png

メルマガ登録バナー(セキュリティ).jpg

RSSで購読する
ランキング
カテゴリ
タグ
月別アーカイブ