MANAGEMENT
INDEX
サイバー攻撃をはじめとする、セキュリティ上の新たな脅威が日々発生し、企業経営にとって大きなリスクとなっています。企業の情報資産を守るため2014年にはサイバーセキュリティ基本法が定められ、翌年には現場でのセキュリティ対策の指針となる「サイバーセキュリティ経営ガイドライン」(経済産業省)が公開されました。
今回は経営者、総務やセキュリティ担当者に向けて、サイバーセキュリティの概要や近年問題となっているセキュリティ上の脅威、ガイドラインで示されている重点ポイントを踏まえた対策について解説します。
サイバーセキュリティとは
サイバーセキュリティとは、デジタルな情報や機器への外部からの窃取、毀損、破壊、漏えいなどを目的とした不正な攻撃に対して、それらデジタルな情報や機器の機密性、完全性、可用性を確保するセキュリティ対策全般のことを指します。
具体的には、以下のような措置全般を指します。
・インターネットを通じた情報の漏えい、消失または毀損の防止
・サイバー空間において機密性、完全性、可用性を確保
・コンピューターウイルスやスパイウェアなどによる攻撃から機密情報を守る対策
サイバー攻撃を受け、情報の流出やシステムに不具合が生じると、企業の信頼性を損なうだけでなく、多額の損賠賠償が発生したり事業活動の停止に追い込まれたりするリスクがあります。
サイバーセキュリティ基本法と近年の動向
インターネットの急速な普及により、2000年代には不正アクセスによる企業や国へのサイバー攻撃が多発し、社会問題化しました。特に日本では2000年に各中央省庁Webサイトがサーバー攻撃によって改ざんされる事件が発生し、従来のセキュリティ対策の不備や脆弱性が明らかとなりました。経済産業省の調査では、サイバー攻撃は増加傾向にあり、約4割の企業がサイバー攻撃を受けた経験があることが分かっています。
また、オリンピック開催時にサイバー攻撃が増加した過去の事例を踏まえ、2015年から「サイバーセキュリティ基本法」の施行を開始しました。
サイバーセキュリティ基本法は主に以下を基本方針とし、社会情勢の変化に合わせて法改正を行っています。
・サイバーセキュリティに関する国および地方公共団体の責務を明らかにする
・サイバーセキュリティ戦略本部を設置する
・サイバーセキュリティ戦略の策定を行う
・経済社会の活力の向上と発展、国民が安全で安心して暮らせる社会の実現
(参考:衆議院『サイバーセキュリティ基本法』)
サイバーセキュリティ経営ガイドラインとは
経済産業省はサイバー攻撃の増加や巧妙化により、企業の経営利益が損失している事象が多く発生していることを受けて、サイバーセキュリティを経営問題として捉えるための「サイバーセキュリティ経営ガイドライン」を2015年に独立行政法人 情報処理推進機構(IPA)と共同で策定しました。
経営者が押さえておくべき「サイバーセキュリティ経営の3原則」
「サイバーセキュリティ経営ガイドライン」では、サイバー攻撃による脅威防止のために「経営者が認識すべき3原則」が示されています。以下、サイバーセキュリティ経営ガイドラインを参照しながら解説していきます。
原則①:経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
「リスクを考慮したサイバーセキュリティ対策の推進」と「サイバー攻撃によって企業の成長が阻害されないようセキュリティ投資の実施」が求められています。これらの対策を実施する上で、特に以下の2点を重視する必要があります。
①責任者となる担当幹部の任命 (例:Chief Information Security Officer:CISO、最高情報セキュリティ責任者など) ②経営者自らがリーダーシップを発揮して適切な経営資源の配分を行う |
原則②:自社、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
自社だけに留まらない取引先なども含む「総合的なサイバーセキュリティ対策」が欠かせません。これまでも、セキュリティ対策が充実している大企業を避けて、対策が不十分な中小の取引先企業を経由するサイバー攻撃が多く発生しており、自社だけでなくビジネスパートナーやシステム保守・運用などの委託先を含めた、サプライチェーン全体を包含するセキュリティ対策を実施する必要があります。
原則③:平時・緊急時ともに関係者との適切なコミュニケーションが必要
緊急時(インシデント発生時)にも円滑にコミュニケーションを取るため、平時から株主や顧客を含めた関係者に情報セキュリティに関する情報開示や情報共有を行い、信頼関係の醸成に努めることが求められます。
責任者に対応を指示すべき「サイバーセキュリティ経営の重要10項目」
「サイバーセキュリティ経営ガイドライン」では、経営者だけではなく、担当幹部(CISO等)が意識すべき項目も示されています。ガイドラインに記載されている10つの指示について解説します。
指示①:リスクの認識、組織全体での対応方針の策定
サイバーセキュリティに関する経営リスクを洗い出し、組織全体での対応方針(セキュリティポリシー)を策定することが求められています。
対策として、以下のステップを検討しましょう。
ステップ1: セキュリティポリシーを策定する際は、情報システム部門だけでなく製造・開発部門、販売部門など、各事業に応じた方針を検討する ステップ2: ステップ3: |
指示②:管理体制の構築
サイバーセキュリティリスクの管理体制を整備していない場合、組織としてリスクの把握ができず、一貫した方針が取れなくなる可能性があります。
それを防ぐために、以下のステップを検討しましょう。
ステップ1: セキュリティ責任者はサイバーセキュリティリスクの管理体制を構築。責任範囲を明確化する ステップ2: ステップ3: |
指示③:対策のための予算・人材確保
サイバーセキュリティ対策のための予算、有能なサイバーセキュリティ人材や外部の委託先の確保が継続的なセキュリティ管理体制構築に欠かせません。
予算と人材確保のために、以下のステップを検討しましょう。
ステップ1: 企業内でサイバーセキュリティ対策を明確にし、それに要する費用を確保する ステップ2: ステップ3: |
指示④:リスクの把握とリスク対応に関する計画の策定
万全なリスク対応のための計画策定には、経営戦略の観点から守るべき情報を特定した上でサイバーセキュリティリスクを把握する必要があります。
対策として以下のステップを検討しましょう。
ステップ1: 経営戦略の観点から守るべき情報(新商品情報、顧客情報、経営情報など)を特定、保存先を明確にする ステップ2: ステップ3: |
指示⑤:リスクに対応するための仕組みの構築
リスクに対応するため、サイバー攻撃に対する防御・検知・分析に関する対策に加え、その対策が実行可能な組織体制を構築しなければなりません。
体制構築のために以下のステップを検討しましょう。
ステップ1: 重要業務を行う端末やネットワーク、システム、サービスには暗号化やバックアップなど、情報を保護する仕組みを導入する ステップ2: ステップ3: |
指示⑥: PDCA サイクルの実施
サイバーセキュリティ計画を確実に実施し、進化するサイバー攻撃に対しても継続的に計画を改善していくというPDCA サイクルも重要になってきます。
PDCAサイクルを検討する際は、以下のステップを参考にすると良いでしょう。
ステップ1: 改善のためにセキュリティ責任者には、定期的に対策状況を経営者に報告させる ステップ2: |
指示⑦:インシデント発生時の緊急対応体制の整備
サイバー攻撃をはじめ、重大なリスクの発生が考えられる事態(インシデント)を想定します。発生した場合の影響範囲や損害の特定、初動対応、再発防止など、検討するための体制を整備します。
体制整備のため、以下のステップを検討しましょう。
ステップ1: サイバー攻撃による被害を受けた場合、各種ログの保全やコンピューターウイルスに感染した端末の確認など、証拠保全を行える体制を構築する ステップ2: ステップ3: |
指示⑧:インシデントによる被害からの復旧体制の整備
サイバー攻撃(インシデント)が発生し、業務停止に至った場合、いつまでに復旧すべきかを決定し、復旧対応体制を整備する必要があります。
インシデント発生時に備えた対応として、以下のステップが挙げられます。
ステップ1: 各担当者には復旧手順に従った演習を事前に実施させる ステップ2: ステップ3: |
指示⑨:サプライチェーン全体の対策の推進
サプライチェーン全体の対策を万全にするため、サイバーセキュリティ対策について、ビジネスパートナーや委託先を含めたの PDCAの運用を行います。
対策推進のため、担当者には以下のステップで指示を出しましょう。
ステップ1: ビジネスパートナーや委託先に対して、サイバーセキュリティ対策の内容を明確にした上で契約を交わす ステップ2: ステップ3: |
指示⑩:関係者とのコミュニケーションの推進
日々進化する最新のサイバー攻撃に対応するため、サイバー攻撃に関する情報共有活動に参加し、積極的な情報提供や情報の獲得を行うよう、関係者とのコミュニケーションを推進します。
具体的には以下の措置が取れるように、担当者への指示を検討しましょう。
ステップ1: サイバー攻撃の防御につなげるため、情報を入手するだけではなく、自社からも積極的に情報を提供する ステップ2: |
企業が意識すべきセキュリティ対策とは
企業が意識すべきセキュリティ対策の種類について具体的に解説します。
基本的なセキュリティ対策の徹底
サイバーセキュリティ対策を行う上でも、基本的な対策方針は変わりません。自社内で以下の対策を徹底できているか確認しましょう。
・ソフトウェアの最新版への更新 やウイルス対策ソフトのインストール
・OS、ネットワーク、クラウドなどのセキュリティ設定の見直し
物理的なセキュリティ対策
セキュリティ対策の一環として、自社情報の盗難や、災害によるシステムダウンなど物理的要因に対する対策も必要です。以下の対策が実施できているか随時確認しましょう。
・防犯カメラの設置
・オフィスの施錠
・入退室管理システムの導入
・生体認証システムの導入
・自社オフィスの耐震強化
・火災感知器の設置
内部不正や情報漏洩に対応するルール策定
不正アクセスや情報漏えいに備えるためには、外部からのサイバー攻撃だけでなく、内部の人間による不正防止の対策も同時に行う必要があります。具体的には、以下の対策を徹底させましょう。
・業務の持ち帰りの制限
・自社ルールに基づいたパスワード管理
・セキュリティ教育・研修の実施
・サイバー攻撃が発生した際の報告体制の整備
まとめ
業種や企業規模を問わず、サイバー攻撃をはじめとするセキュリティ上の脅威が経営リスクとなっています。年々セキュリティ対策の重要度は上がり、経済産業省とIPAの「サイバーセキュリティ経営ガイドライン」が推奨している「重要10項目」の基準を満たさない企業は、情報セキュリティが不十分であるとみなされる可能性があります。
安全性確保のためには、ガイドライン沿って、早急に対策しなければなりません。パートナー企業や取引先、消費者に対しても信頼度が高く、計画の改善がしやすい体制づくりが急務です。