Risk Oversight vol.44 サイバーセキュリティリスクを管理する

主要な考慮事項

投資家もいずれはサイバー攻撃の本質、つまり世の中に 蔓延したものでありかつ時には不可避なものであるという ことに気付くでしょう。また、サイバー攻撃は企業のみな らず政府にとっても悩みとなっています。著名な組織体 においては、毎日数千件ものネットワーク侵入の試みを受 けているところもあります。このような状況に対して必要 なのは、事故を早期に発見・対応し、ダメージを抑える仕 組みです。

とくに、動機が何であれ、サイバー犯罪者が高度な手法 を用いてオンライン情報をコントロールする方法を入手し て主要なインフラを脅かすことを想定しなければなりませ ん。主要なセキュリティリスクには、機密情報の漏洩、従 業員のコンピュータにウイルスの意図しないアップロード があり、従業員を対象としたいわゆるソーシャルエンジニ アリング攻撃による情報入手もますます増えています。し かし、複数のシステムに侵入して大量のデータを収集し、 攻撃者の元に送信する持続的標的型（ATP）攻撃を含 むサイバーセキュリティの脅威が増加しているのに対し、 多くの企業では対応するためのプロセス、テクノロジー、 ガバナンスが不足しています。

その結果、効果的な対応プランがなかったために、持続 的標的型（ATP）攻撃等を受け、情報漏洩に至ってしま い、結果に苦慮している企業の数は激増しています。対 応プロセスの向上を求めている組織体は増加しており、 そのためには、以下の 4 つの事項を考慮しなければなり ません。

危機対応をトップマネジメントの優先事項とする

危機に対する準備・識別・封じ込め・駆除はそれぞれ重 要ですが、危機対応について特に重要なのは経営者の サポートを得ることです。過去に非常事態に直面したこ とがある場合は別として、そうでない企業の経営者は強 固な危機対応プログラム構築に予算を与えることに消極 的です。法律や業界規制によって危機対応プログラム が必要な場合でさえ、以下のような落とし穴に陥ることが あります。

• 企業の事業または IT分野外の責任者を満足させる 程度の中途半端な計画
• 具体的な報告エスカレーションプランや、計画実行のた めの役割・責任体制、プロトコルなどの欠如
• 要請への準拠のみ監査し、計画の実施を監査しない
• 継続的標的型（ATP）攻撃等の新しい脅威に対応す るなど、対応計画のアップデートをしない

経営層のサポートがあれば、これらの失敗を避ける確率 が格段に上がります。

予防的な人的・ITセキュリティ体制を構築する

基準の策定や予備練習が完了したら、その次には従業 員に対する教育を実施しなければなりません。この段階 で、セキュリティの重点は、ITのインフラ基盤から、日々の 業務・活動を通じて企業を支える人的資源へと移行しま す。強固な周知徹底プログラムの構築及び全体的なリ スク意識を高めることにより、従業員はリスクの高い行動 を認識し、攻撃にも対応し、「人的セキュリティ体制」を構 築することが可能となります。

アンチウイルス、アンチスパイウェア、ウェブフィルタリングテ クノロジー等の強固なITセキュリティコントロールに加え、 従業員教育及び意識向上により、適切な人員はテクノロ ジーを活用して必要な結果を出し、またリスクが事業を揺 るがす可能性を低くすることができるのです。

報告プロトコルを活用し、トップの可視性を確保する

いまだにセキュリティ漏洩をIT 部門のみに任せ、取締役 会や経営者がその他の「IT 問題のうちのひとつ」として しか考えていない企業が多くあります。しかし、実際は、 企業は法律上・ビジネス上の目的に応じた危機対応プロ グラムの基準を設定する必要があります。そのためには、 資金・売上・システム、B2BあるいはB2C への影響などの 指標を用いて、事故の危機のレベルを明確に定義しなけ ればなりません。さらには、事故を取締役会に報告する 際の要件も定義しなければなりません。

危機対応のためのオペレーションフレームワークを 構築する

企業は経営者の可視性・サポートのある危機対応プログ ラムを構築する必要があります。そのためには、^[1] 企業 の法律上・契約上の義務、^[2] プライバシーに関する要件、
^[3] サイバーセキュリティ事故の報告ポリシー、^[4] 国際事業 の複雑性、の理解に基づき、危機対応チームのためのオ ペレーションフレームワークを危機対応プランに含める必 要があります。オペレーションフレームワークとして、例えば、 以下の項目が必要です。

• 既存の情報セキュリティプログラムを統合・補完し、テ クノロジーが更新され、企業の内部・外部の接続ネット ワークが文書化されていることを確認する
• コンプライアンス、IT, セキュリティ、広報、法務、事業部 など、適切な利害関係者からの情報を含める
• 組織内の役割・責任を明確化する 
• 報告プロトコル、連絡手続きにより、適切な利害関係者 が事故対応・開示に関する重要な意思決定に関わるよ うにする
• 事故対応・漏洩の開示に関する法規制上の義務に応 える
• 事故の規模・性質上、企業内部のリソース能力を超え た場合に、信用できる適格な外部リソースを確保して おく
• 企業の決定した方針を実行できるよう、当局・メディアに コンタクト先を確保する・
• 危機対応プログラムを定期的に監査する

すべての必要事項を網羅したわけではありませんが、以 上は企業の危機対応プランの有効性を増強するのに役 立つポイントです。企 はまた適切な外部リソース（国際 的ビジネスを営むのであればグローバルに）を確保するこ とや、当局との関係を慎重に考慮する必要があります。セ キュリティ事故が発生した場合に備え、対応プランは関連 情報・証拠を保全し、必要な法的措置をとり、eディスカバリ に関連する費用・時間・負担をも考慮しなくてはいけません。

[1]    Executive Perspectives on Top Risks for 2013: Key Issues Being Discussed in the Boardroom and C-Suite「経営者による2013 年トップリスク」： プロティビティ及びノースカロライナ州立大学 ERM Initiative  
[2]    “Human Frailty Lets Cyber Thieves Attack, Expert Says” Brian Browdie, American Banker, March 19, 2013/08/13
[3]    プロティビティSEC Flash Report SEC Staff Provides Guidance on Public Companies’ Disclosure Obligations Relating to Cybersecurity Risks and Cyber Incidents, 2011 年 10月
[4]    “Cyberattacks, Data Breaches Scare Off Investors, Study Says” John P. Mello, Jr., Network World 2013/2/27