組織的なセキュリティ対策の重要性について
みなさま、こんにちは。
本日は、技術的な内容ではなく、セキュリティ対策における組織としての取り組みの重要性について考察していきたいと思います。
ある調査会社の資料においては、近年のサイバー攻撃等に代表されるセキュリティ侵害の件数は、10年前と比較して約100倍以上になっていると報告されています。
攻撃手法も多種多様に進化し、業種・業態・企業規模に関わらず様々な企業・組織が悪意のある第三者の被害を受けています。
お客様より当社にご相談いただく内容からもその様子が伺えます。
それらの悪意のある攻撃から企業の成長、利益を守るためには経営層がリーダーシップを取り、全社的な経営課題として捉えた対応を継続していく事が非常に重要になってきます。
また、対応すべきは外部からの攻撃だけに限りません。
故意やミスなどに関わらず、内部からの情報持ち出し等に関してもしっかりと対応しておく必要があります。
セキュリティ事故の主な要因
セキュリティ事故に繋がる要因は主に3つあります。
・技術的脅威
ITシステム等において、技術的に脆弱な部分を悪用された攻撃等によって発生するもの
・物理的脅威
自然災害や停電、コンピュータの破壊や破損等によるデータ遺失等によって発生するもの
・人的脅威
メールの誤送信やうっかりミスに起因するもの、内部不正による情報持ち出しなどによって発生するもの
上記3つの要因に対して、現状の対策がどのようになっているのかを把握し、組織的なルールを設けたうえで、対応の遵守を徹底していく事になります。
アセスメントの重要性
セキュリティ対策における企業・組織としてのルールや運用を策定するにあたり、第一に実施すべき事項は、現状を正しく把握する事です。
そこで、アセスメントという作業が重要になってきます。
前述の3つの脅威に対しての現状の対策状況や運用フローなど、組織内における対策の有効性を確認します。
一般的なアセスメントの実施内容としては、以下の通りです。
1 | 保護対象となる「情報」・「システム」等を明確に定義する | ・どのような情報を保持しているか? ・どのようなシステムを利用しているか? |
2 | 定義した対象の現状を正確に洗い出す | ・情報にはどのようなものがあるか? ・個人情報に該当するものはあるか? ・どのように保管されているか? ・システムのアクセス権限は適切か? ・外部のクラウドサービス等の利用有無 |
3 | 洗い出した結果を評価する (リスクアセスメント) | ・「機密性(Confidentiality)」 ・「完全性(Integrity)」 ・「可用性(Availability)」 上記の3項目を軸に現状を評価する |
4 | 評価に基づいた対策、優先順位を策定する | ・是正事項を確定させる ・安全対策に関する追加措置の内容を決定する ・実施する優先順位を明確にする |
5 | 対策を実施する | ・安全対策措置の実施 ・社内運用体制の構築 |
アセスメントを実施する際、個人情報の取り扱いがある企業や組織に関しては、個人情報保護法等の法令で定められている内容に合致しているかも含めて確認します。
そのうえで、個人情報の取り扱いに関する運用等を整理する場合には、個人情報管理台帳を作成します。
個人情報管理台帳とは、企業や組織が保有している個人情報を一覧にし、各個人情報の内容や管理方法等をまとめた台帳のことです。
■個人情報管理台帳を作成する目的
・個人情報のIN~OUTまでのルートの把握
・保管状況および複写状況の把握
上記の情報をもとに、
・リスクアセスメントを実施
・脆弱性管理を実施
・管理策を実装しPDCAをまわしていく
■個人情報管理台帳のまとめ方例
・業務別/部門別
・個人情報の用途別/種類別
・ルート別
・保管場所別
台帳に記載する内容、まとめ方に関しては法令上の決まりはありませんので、各組織に合わせて最も効率の良い方法で構いません。
ただし、ISMSやプライバシーマーク等の認証取得を検討するような場合には、それらのガイドラインへの適合状況も確認が必要です。
また、リスクアセスメントの際には、万が一のセキュリティ事故の際に想定される影響範囲や損害額なども把握しておくと良いでしょう。
これらの活動を通して、是正すべきポイントを把握し、理想のセキュリティレベルを維持するためのルール、体制、運用モデルを構築していきます。
ルール策定に関する留意点
各企業の活動は様々です。
事業所や実店舗、ECサイト、外部委託の有無、業種・業態などを考慮しルールを策定していく必要があります。
以下に留意点を記載しておきます。
① 現場の特性・運用に合わせて実効性を担保する事
② 試行し、フィジビイティスタディ(実行可能性検証)を実施する事
③ 全社的にリリースし、周知・徹底、定期的な教育を実施する事
④ 事業の変革や組織変更等に合わせて、適宜改定する事
なお、策定すべきルールには、情報資産取扱いに関するルール、安全対策措置に関するルール、外部委託先管理に関するルール、社外サービスを採用する際のルールなどがあります。
全社的に推進していく為に
情報セキュリティマネジメントは、現在の企業活動においては、事業の成長や利益を守る為に必須と言えるものです。
その為には、全社的な経営課題として経営層がリーダーシップをとって推進していく事が重要です。
・情報セキュリティに関する取り組みに関して経営者がリーダーシップを持って宣言する
・情報セキュリティに関する責任者を擁立する(CISO/Chief Information Security Officer)
・各部門より委員を選出し体制化、プロジェクト化する(セキュリティ委員会、リスクマネジメントPJなど)
・必要な予算と権限を付与する
経営層の理解を得る為には、以下を明確にすると進め易くなります。
・リスク、損害の可視化
→リスクアセスメントを通して顕在化した脅威に関して、実際に事故になった場合の損害額や社会的影響に対する理解を深める
・市場、同業他社との競争優位性を高める為の取り組みとして実施する
→経営層は同業他社等の取り組み状況を気にする事が多く見られます。
しかしながら、他社がやっていないからと言って、自社もやらなくて良いという理由にはなりません。
むしろ、同業の中でも率先して取り組んでいる事を競争優位性として確立すべきです。
ISMSやプライバシーマークを取得すれば、ステークホルダーへ向けた企業としてのインセンティブとしても活用可能です。
・必要な体制、予算を明確にする
→情報セキュリティマネジメント体制を継続していく上で必要な体制・人員、コスト等を明確にして予算化を検討しやすい材料を提示する事が必要です。
セキュリティ対策に関する予算は、コストではなく投資として捉えるべきと言われますが、企業活動においてはやはり経済面が気になるところです。
人的コスト、教育コスト、IT対策コスト(ツール、サービス等)、運用コスト、コンサルティングコストなどをわかるようにまとめると良いでしょう。
セキュリティ対策を経営の問題として考える上では「経営ガイドライン」、もしくは一般財団法人日本経済団体連合会が公開した「サイバーリスクハンドブック」が参考になります。
【参考】
・経済産業省 独立行政法人情報処理推進機構(IPA)発行:サイバーセキュリティ経営ガイドラインver2.0実践のためのプラクティス集(第2版)
https://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v2.0.pdf
・一般財団法人日本経済団体連合会(経団連)発行:サイバーリスクハンドブック 取締役向けハンドブック日本語版
http://www.keidanren.or.jp/policy/cybersecurity/CyberRiskHandbook.pdf
以前のコラムでも紹介していますので参考にしてください。
このように、セキュリティ対策は経営課題であると認識した上で、組織的にルールを策定し、それに従事する人員すべてに教育を実施し、継続的に対応していく事であらゆる脅威からの耐性が強化されていきます。
M&Kでは、経験豊富なコンサルタント、エンジニアが企業のこれらのセキュリティ対策に関するご支援を行っております。
何かお悩みの点がございましたら、お気軽にご相談ください。