セキュリティ対策は経営者のリーダーシップが要
リスクの評価と効率的なリソース活用
独立行政法人情報通信研究機構が提供する「NICTERWEB」では、ダークネットの観測結果の一部を公開しています。世界中でサイバー攻撃の脅威がリアルタイムで広がっており、日本国内も例外ではありません。日々我々がいかにサイバー攻撃のリスクにさらされているかがわかります。
とはいえ、リソースが限られている中堅・中小企業にとって、どこから手をつけてよいのか悩む場面も多いでしょう。その多くの原因として、「守るべき資産」とそれに伴うリスクの評価が不十分なことが挙げられます。サイバー攻撃への対応の第一歩は、企業が守るべき資産とそのリスクを洗い出すことです。それがなければ、どのように対処すべきかが見えてこないのです。
例えば、企業の基幹サーバーや重要なデータベースなどを最優先で守るために、EDR(エンドポイント検出+応答)を導入する一方で、社員のPCにはEPP(エンドポイントプロテクションプラットフォーム)のみを導入し、万が一重度の問題が発生した場合には、端末を隔離または破棄する体制を取ることも選択肢の一つです。このように、リスクが低い場合には「攻撃されたら捨てる」といったリスク受容の選択肢もあります。
どんなセキュリティ施策もすべての脅威に対応することは困難です。そのため、守るべき資産とリスク対応の方向性を明確にし、それに基づいた統合的なセキュリティ戦略を策定し、全社的に共有・実行することが必要です。
※具体的なリスク評価の方法については、次回の記事で詳しくご紹介します。
経営者の関与が不可欠
セキュリティ対策は予算などの重要な決断に係ることが多く、セキュリティ施策の実効性と企業の継続性を高めるためには、経営者の積極的関与が必要です。
経済産業省が示す「サイバーセキュリティ経営ガイドライン Ver 3.0」によると、経営者は以下の3つの原則を認識し、対応を進めるべきだとされています。
- サイバーセキュリティリスクが重要なリスク管理課題であることを認識し、自らリーダーシップを発揮して対策を進めること
- サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
- 効果的な対策を実施するために関係者との積極的なコミュニケーションを行うこと
特に、サイバーセキュリティリスクの原因が自社内だけではなく、サプライチェーンに起因していることが最近では多いため、経営者主導でサプライチェーン全体のセキュリティ状況を把握し、関係各所と密に連携することが非常に重要です。
経営者が関与しないリスク
経営者がセキュリティ対策に関与しないリスクとして、インシデント対応の遅延が考えられます。対策について理解できていない場合、いざというときの判断や決定に時間を要することは想像に容易いでしょう。インシデント対応が遅れることは、単に経済的損失を引き起こすだけでなく、間接的な風評被害による株価の下落や、顧客やパートナーとの信頼関係の損失にもつながる恐れがあります。また、適切なタイミングでの公表ができていない場合にも、同様のリスクが発生します。
組織によっては、インシデント対応の一部を外部に委託することがありますが、重要なのは、外部委託に頼りきらず、適切なコミュニケーションを関係者全員に対して行うことです。私が過去に内部監査や他企業のセキュリティ監査を行った際、以下のような事例を目にしました。
- 現場チームが独自に調査を行っていた企業では、経営者に対して次のアクションを決定するために必要な情報が整理できておらず、対応が後手に回ってしまった。
- 外部にインシデント対応を委託していた企業では、何が起きているのか、外部委託業者がどのような対応をしているのかが経営者に適切に伝わらず、結果的に自社の状況を正確に説明できない状況に陥った。
このようなリスクを最小限に抑えるためには、平時から経営者を巻き込んだ効果的なコミュニケーションが欠かせません。経営者と現場対応チーム、外部委託先との連携を強化し、適切なタイミングで対応することが求められます。
インシデント対応方針の整備
サイバーセキュリティインシデントはいつ発生するか分かりません。だからこそ、インシデント対応方針を事前に整備し、迅速で適切な対応ができる体制を構築することが求められます。「サイバーセキュリティ経営ガイドライン Ver 3.0」における経営の重要10項目の中でも、インシデント対応の重要性は説明されています。有事の際に最終的な判断を下すのは経営層の責任であり、平時からの準備が重要です。
(参考:サイバーセキュリティ経営ガイドライン Ver 3.0|経済産業省)
「インシデント発生時の対応フロー」は改めて今後別の記事でまとめますが、以下はインシデント対応の準備段階における「経営層」と「現場対応チーム」の優先的な対応方針を簡単にまとめました。
対応者 | 優先対応方針 |
|---|---|
経営層 |
|
現場対応チーム |
|
もし資産やシステムの全体像が理解できていない場合、「どの資産が狙われているのか」「攻撃の起点となりうる場所はどこか」等が把握できず、なおさら対応が後手になってしまいます。その意味でも、冒頭に説明した資産管理はとても重要です。
経営者への説明方法
仮にあなたが情報システム担当者として経営者にセキュリティ対策を提案する立場にあるとします。その場合は、社会で起きているセキュリティ施策を引き合いに出し、同様の事象が発生した場合の事業影響度を具体的な数字で示すことで説得力を持たせることができます。JCIC(一般社団法人日本サイバーセキュリティ・イノベーション委員会)が提供するサイバーリスクの数値化モデルが非常に参考になりますので、是非使用してみてください。
(参考:取締役会で議論するためのサイバーリスクの数値化モデル|⼀般社団法⼈⽇本サイバーセキュリティ・イノベーション委員会)
結論
サイバーセキュリティは単なるIT部門の問題ではなく、企業全体で取り組むべき課題です。リスク評価をしっかりと行い、優先すべき資産を守るための体制を整え、経営者の協力を得て、全社的なセキュリティ戦略を策定・実行していきましょう。
まとめ
- サイバー攻撃対策の第一歩は、守るべき資産とリスクを評価し、優先順位を決めて対策を講じること。
- 経営者の理解と協力が不可欠で、全社的な取り組みとしてサイバーセキュリティ対策を進める必要がある。
- インシデント発生時には、事前に整備した対応方針に基づき、経営層と現場チームが協力して迅速に対応することが重要。
- 情シスの方が、経営者に提言する際には、「サイバーリスクの数値化モデル」を用いて、定量的にリスクを説明すると良い。
