企業におけるセキュリティ対策の必要性
みなさま、こんにちは。
本日は、企業におけるセキュリティ対策の必要性についてお話したいと思います。
現在のITを取り巻く環境は、様々なWEBサービスの登場により、利用者にとっては以前とは比べ物にならないくらい、便利で快適なものになりました。
その分、悪意のある第三者から見ると攻撃の入り口となり得る対象が増えており、業種・業態・企業規模などに関係なく被害を受けるケースが散見されます。
サプライチェーン攻撃の増加などもその傾向の一つです。
サプライチェーン攻撃
サプライチェーン攻撃とは、製品の原材料・部品の調達から、製造、在庫管理、配送、販売、消費までの全体の一連の流れである「サプライチェーン」を狙った攻撃で、大きく二つの手法が存在します。
■ターゲット企業の関連組織・グループ等を入り口とした攻撃
ターゲットとなる大手企業などを狙う場合、セキュリティ対策があまり行き届いていない取引先や関連会社を経由して、ターゲット企業を攻撃する手法です。
踏み台攻撃とも言われています。
■ソフトウェアによる攻撃
IT機器やソフトウェア製品や製品の更新プログラムなどに不正なプログラムなどを仕込み、それらのソフトウェアを利用した端末を感染させる手法です。
2022年のセキュリティ10大脅威については、以前のコラムでも紹介しておりますのでご参考になれば幸いです。
情報セキュリティ10大脅威 2022年版が発表されました。 - 総合セキュリティソリューション (m-kcompany.co.jp)
このような攻撃の増加も鑑みると、もはやどのような企業も攻撃の入り口としてターゲットになり得ることが想定され、自社や取引先、関連企業などを守る為にも、企業にとってのセキュリティ対策は経営課題として取り組むべきものとなっています。
経営層におけるサイバーセキュリティ対策ガイドライン
サイバーセキュリティ経営ガイドラインとは、サイバーセキュリティが経営課題であることを前提としつつ、経営層が認識すべき3つの原則と、サイバーセキュリティ経営における重要な10項目を上げているガイドラインのことです。
独立行政法人情報処理推進機構(IPA)は「サイバーセキュリティ経営ガイドラインver2.0実践のためのプラクティス集(第2版)」を公開しており、経営ガイドラインで示された事項を実践するための参考となります。
企業のサイバーセキュリティは、全社的に組織的に経営課題としてリスクマネジメントを行う必要があります。
近年の企業はITやICTに対する依存度が高まっており、インシデント発生を含めサイバーセキュリティに関するリスクをゼロにすることは難しく、セキュリティインシデントが発生した場合に業務に与える影響も大きくなっている背景があります。
企業の取り組みとしては、セキュリティ対策の実施を「コスト」と捉えるのではなく、将来の事業活動・成長に必須なものと位置づけて「投資」と捉えることが重要とされています。
サイバーセキュリティを経営の問題として考える上では「経営ガイドライン」、もしくは一般財団法人日本経済団体連合会が公開した「サイバーリスクハンドブック」が参考になります。
【参考】
・経済産業省 独立行政法人情報処理推進機構(IPA)発行:サイバーセキュリティ経営ガイドラインver2.0実践のためのプラクティス集(第2版)
https://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v2.0.pdf
・一般財団法人日本経済団体連合会(経団連)発行:サイバーリスクハンドブック 取締役向けハンドブック日本語版
http://www.keidanren.or.jp/policy/cybersecurity/CyberRiskHandbook.pdf
サイバーセキュリティ経営の3原則
経営者はサイバーセキュリティに対して、以下の3原則を認識し、対策をすすめることが重要であると定義されています。
原則 | 内容 |
原則① | 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要 |
原則② | 自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要 |
原則③ | 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要 |
サイバーセキュリティリスクハンドブックにおける5つの原則
2019年10月に経団連から発行された「サイバーセキュリティリスクハンドブック」では、サイバー攻撃のリスクを企業の経営者や取締役に向けて以下の5つの原則を掲げ、これを遵守すべきと定義されています。
原則 | 内容 |
原則① | 取締役は、サイバーセキュリティを、単なるITの問題としてではなく、全社的なリスク管理の問題として理解し、対処する必要がある |
原則② | 取締役は、自社固有の状況と関連付けて、サイバーリスクの法的意味を理解すべきである |
原則③ | 取締役会は、サイバーセキュリティに関する十分な専門知識を利用できるようにしておくとともに、 取締役会の課題としてサイバーセキュリティリスク管理を定期的に取り上げ、十分な時間をかけて議論を行うべきである |
原則④ | 取締役は、十分な人員と予算を投じて、全社的なサイバーリスク管理の枠組みを確立すべきである |
原則⑤ | サイバーリスクに関する取締役会に関する取締役会における議論の内容として、回避すべきリスク、許容するリスク、 保険等によって軽減・移転すべきリスクの特定や、それぞれのリスクへの対処方法に関する具体的計画等を含めるべきである |
サイバーセキュリティ経営の重要10項目
以下の重要10項目は、経営者がCISO(Chief Information Security Officer 最高情報セキュリティ責任者)等に指示すべき項目として定義されています。
カテゴリ | 原則 | 内容 |
リスク管理体制の構築 | 指示1 | サイバーセキュリティリスクの認識、組織全体での対応方針の策定 |
指示2 | サイバーセキュリティリスク管理体制の構築 | |
指示3 | サイバーセキュリティ対策の為の資源(予算・人材等)の確保 | |
リスク特定と対策の実装 | 指示4 | サイバーセキュリティリスクの把握とリスク対応に関する計画の策定 |
指示5 | サイバーセキュリティリスクに対応する為の仕組みの構築 | |
指示6 | サイバーセキュリティ対策におけるPDCAサイクルの実施 | |
インシデントに備えた体制構築 | 指示7 | インシデント発生時の緊急対応体制の整備 |
指示8 | インシデントによる被害に備えた復旧体制の整備 | |
サプライチェーンセキュリティ | 指示9 | ビジネスパートナーや委託先を含めたサプライチェーン全体の対策及び状況把握 |
関係者とのコミュニケーション | 指示10 | 情報共有活動への参加を通じた攻撃情報の入手とその有効活用および提供 |
企業は、このような事を意識し、日ごろから自社が攻撃のターゲットにされてしまう可能性を意識しながら経営していく必要があります。
M&Kでは、経験豊富なコンサルタント、エンジニアが企業のセキュリティ対策に関するご支援を行っております。
守るべき資産のアセスメント、セキュリティマネジメントに関するコンサルティング、具体的な技術的安全対策措置までワンストップにてご支援が可能です
セキュリティ対策は、現状を正確に把握し、その評価結果に基づいた強化・対策を継続して実施して、理想とする姿に近づけていく事が重要です。
何かお悩みの点がございましたら、お気軽にご相談ください。