先週ランチで食べたサラダボウル。地元産の野菜をふんだんに使っています。マスタードソースが鶏肉とよく合ってました。
***
9月に入ってからまたマルウェア「Emotet」と呼ばれるウイルスへの感染を狙う攻撃メールが増えているニュースを目にします。攻撃メールは、受信者が過去にメールのやり取りをしたことのある実在の相手の氏名やメールアドレスなどが流用されるなど、手口も巧妙になっています。
近年、サイバーセキュリティは経営上の重要な課題であると言われながら、実際のところ、自社で有効なリスク分析をして十分対応しています、といったことを対外的には主張しにくいものです。理由は、新たな脅威が日々発生する中、有効な脅威分析は難しいからです。また、ある程度対策ができているとしても、もしかすると間違った結論に至っている可能性もあります。そのため、あえて具体的な対策を言わない方が賢明ともいえます。ある企業が実施したサイバーセキュリティに対する意識調査では、経営者が誤認識している(自社は対策できていると回答しているが、他の設問の回答から脆弱性があることがわかってしまう)ケースもあります。
サイバーセキュリティは情報システム部門・セキュリティ担当の役割なので、任せてきっている経営者も多いかもしれません。まずは次の3つの項目について、自社ではどのような状態か、回答できるか確認してみて下さい。
- サイバーセキュリティにかかるリスク評価と対応策が確立されている。
- 検知から復旧にいたるフローと体制が決まっている。
- 部門横断的に組織内外をコーディネートできる旗振り役がいる。
ここでは、大企業のようにセキュリティインシデントに対応するための専門チーム、いわゆるCSIRT(Computer Security Incident Response Team)を組織内に設置した方が良い、とは言っていません。中小企業にとって、CSIRTは各種ガイドライン・教科書をもとに取り組むには難しく、結局、CSIRT組織の構築をゴールにしてしまいかねないからです。
上記の3つは、以前、とあるサイバーセキュリティ演習にボク自身が参加したときに感じたものです。疑似体験を通じて、組織のサイバーセキュリティへの向き合い方を学びました。1や2はサイバーセキュリティの教科書にも書かれています。監査事務所が遵守する実務指針でも同様の記載があります。
3については、実際に演習の体験から学んだ一番大事な項目と思っています。マルウェア感染などの緊急事態の発生時には、複数の組織・部門間の社外・社内調整が不可欠です。ケース・バイ・ケースかと思いますが、例えば、組織内では情報システム部門以外に、経営層・総務・業務・営業部門などと連携をします。また、組織外では関係するシステムベンダー・セキュリティ専門家、得意先、WebサイトやSNS業者、警察などともやりとりが発生する可能性があります。
インシデント対応においては、テクニカルなスキルよりも、決められている体制や対策方針・手順を実行に移す能力、組織内外の関係者と調整する能力の方がはるかに重要になります。
CSIRT組織をつくっても、こうした調整能力のあるメンバーがいなければ、機能を発揮できない可能性すらあります。経営者は自社のサイバーセキュリティ対策の旗振り役をたてる、育成することが求められます。
ところで、サイバーセキュリティ対策はこれからだけど、何をどこから手をつければよいかわからないかもしれません。その場合は、次の4つの項目について、社内でワークショップをしてみると良いと思います。
- 自社の重要な事業目的・活動と関連するリスクは何か
- それら事業活動を支える情報システムは何か
- それらのシステムへサイバー攻撃をしかけるとしたらどんな方法で、また、それはどのような影響を及ぼすか
- このような攻撃をする者は誰か
この段階では、細かい技術的な知識は不要です。皆で半日時間をとって、付箋とペンを用意して、持っている知識や疑問を総動員します。付箋をホワイトボードに貼ってワイワイ議論したものを文章化しておきましょう。そうすることで、まずは組織が同じスタート地点に立つことができますよ。
