(1)現況
企業にとって各種サイバー攻撃を受けることは大変な脅威となっています。データの漏洩や改ざん、マルウェアによるデータファイルの暗号化と身代金要求、顧客情報の流出、決算遅延など、深刻な影響を及ぼす可能性があります。攻撃を受ける対象も大手企業だけでなくそのサプライチェーンの企業や病院など広範囲になっており、明日はわが身という状況です。
それらの脅威に対して、BCPの一環としてサイバー攻撃に対する対応計画への取り組みが必要です。
(2)情報セキュリティ強化の5つの柱
情報セキュリティの取り組みについて振り返りかえると次の5つの要素があると考えます。
| |
要素 |
説明 |
| ① |
情報セキュリティ対策の必要性について経営認知と必要投資 |
セキュリテイポリシーの制定、被害想定、リスクマネジメント、BCPモノヒトカネの適正投資など |
| ② |
専用ツールの導入による侵入阻止や検知 |
ファイアウォール、ウイルス対策ソフト、EDR、スパム対策、WEBフィルタ―など |
| ③ |
策定したルールに基づく利用者側の運用遵守 |
現実的なルール策定、利用者意識向上とリテラシー向上を目指した教育など |
| ④ |
IT部門による日常的運用 |
SOC、ログモニター、定期的教育実施的確なアクセス権限対応(退職者・異動者対応含む)など |
| ⑤ |
インシデント発生時のリカバリーを含めた対応 |
CISRT、インシデント対策規定、適切なバックアップとリカバリー手順の構築、訓練など |
(3)企業における課題取り組みについての課題
サイバー攻撃に対して、大手規模の企業はBCPの一環としての対応、SOC(検知)、CSIRT(インシデント対応)などの体制整備、新たな脅威に対する更なる対応企画に取り組んでいます。
一方で、中堅規模の企業は情報セキュリティ関連規定の策定、ウイルス対策ソフト導入などは実施していますが、利用部門の運用・ルール遵守、ウイルス対策ソフトの全数導入、適時的確なライブアップデート、定期スキャンなどが十分に行えていない企業もあると考えています。
それらの傾向と課題は次のとおりです。
| 傾向 |
情報セキュリティ対策投資が少ない。必要性や関心が高くない |
| ウイルス対策ソフトを導入しているという安心感 |
| 情報セキュリティを担う部門の要員不足 |
| 課題 |
取り決めた利用現場の運用・ルールが複雑で実効性が難しい |
| ウイルス対策ソフトの定期スキャンの実施やライブアップデートの適時実施が徹底されておらずその実施の実態が把握できていない |
その原因としては、経営課題として進めるべきところが情報システム部門に任せてしまい、規定・ルールの策定、ウイルス対策ソフトの導入などのIT対応はなされる一方、現場運用の徹底、人への投資(情報セキュリテイ維持のための体制作り)において課題を残したものとなっています。
サイバー攻撃をはじめとする情報セキュリティ対策には、経営層がその必要性を理解してモノヒトカネに関して適切な手当てをすることが求められます。特に人=対応要員の獲得と育成が最重要と考えます。
(4)情報セキュリティ向上の具体的なポイント
経験的に、情報セキュリティについて適時的確に実効性のある取り組みを行うには次の内容が重要であると考えます。
- 守るべきデバイスを全て掌握
- 運用できるルールの策定
- 運用できる仕組み(ウイルススキャン、各種アップデート、アクセス権の設定など)の構築
- 利用者のリテラシー向上の取り組み
- 利用者への定期的な運用徹底教育の実施
- 上記1-5を経常的に運用していく体制の構築
この中で私が第一に着眼したのは守る対象を全て把握する事です。
PCやワークステーション等の端末類、サーバ、通信機器などネットワークを構成する全てのデバイスを把握する必要があります。一つでも漏れがあればそれがセキュリティリスクとなります。
例えばウイルス対策ソフトウェアの導入が出来ていない端末が存在しないように管理することが最重要です。具体的にはPCの予備機・貸し出し機・持ち出し用・休止機など常には使われておらず利用現場管理となっていれば、実機の把握が容易ではなく台帳とのズレが生じてしまいます。実態把握は難易度が高いですが、きちんと把握をして常に守る対象から漏れないようにすることが必須です。また実機の把握は、セキュリティの観点以外にも各種ソフトウェアライセンスの妥当性の観点でも重要です。
次に、情報セキュリティに関する規定やルールにおいて、利用現場が運用を徹底できる「実質的な運用ルール」を策定することが必要です。運用ルールが複雑であればあるほど守られにくく、記録目的の実施となり実質的な効果が得られません。
体験的には、情報システム部門の技術的・専門的な立場での運用ルールを作成するとどうしても理想論的な内容となり、複雑な運用ルールとなってしまう傾向があります。利用現場一人一人が持続的に遵守できるようなわかり易く、簡素な運用ルールにして行くことが必要です。可能な限り利用者に負担がかからないような、自動化・簡略化を実施して利用者全員が等価で運用できる仕組み作りと投資検討が重要です。
更に、利用者のリテラシーと情報セキュリティの維持に必要な教育を実施することです。それらの教育は一回当たりのボリュームが大きいと受講時間の確保が難しく詰め込み過ぎとなるため、最小限の構成として数回にわたり定期的に実施する方が利用者ファーストとして望ましいです。特に同一内容を繰り返して徹底していくことも重要です。
(5)最後に
専用のセキュリティツールを導入すれば性善説的にとらえると安心感が生まれますが、100%の侵入阻止は難しいのが現状で、性悪説的に考えて侵入後の早期発見とリカバリー体制の構築などが重要です。
また、関連のツール導入に対して適時のアップデートや的確なウイルススキャンなど、人的要素も重要となります。繰り返しになりますが、利用者がセキュリティ遵守できるルール策定と教育、仕組み作りが求められます。
ここで述べたことが該当しない企業も多いと思いますが、該当すると感じられた企業は現状を点検して対応していくことが重要です。ご参考にしていただければ幸いです。