Risk Oversight vol.44 サイバーセキュリティリスクを管理する

24 時間絶え間ないコミュニケーションチャネルへのアクセ ス、情報共有と連携が必要とされるナレッジベースのエ コノミーにおいては、ビジネスにおいてウェブベースアプリ ケーションの活用が普及しています。これは反面、セキュ リティの観点から大きなリスクとなります。

最近のサーベイでは、サイバー攻撃によって企業の中核 事業が中断されることは重要リスクのひとつにランクされ、 特に金融業、IT 企業、メディア産業においてはトップ 5リ スクの一つとされています。過去 2 年間、様々な産業お いて高度なサイバー攻撃による知的財産・企業機密の毀 損が大々的に報道されています。*1

また、最近のレポートでは、100 社以上の米国企業から の知的財産が背後に中国軍がいるとされるハッカーによ り窃取されているとされ、人間の弱み・信頼につけこんだ フィッシングメール等の手法が用いられていると分析され ています。*2

さらにはこのような状況下、米国 SECが米国におけるサ イバー攻撃の開示要請をしているにもかかわらず*3、公 表されているサイバー攻撃の事例は、全体の氷山の一 角にすぎないと多くの人は思っています。大多数の企業 は投資家が逃げ出すことを恐れ、サイバー攻撃を受けた 事実の公表に消極的であるというのが理由の一つです。

最近の研究によると、投資家 400 人以上のうち78.1 パー セントは過去にサイバー攻撃の標的とされたことのある 企業に投資することを躊躇すると回答し、68.7 パーセント は過去に情報漏洩があった企業に投資することに消極 的である旨回答しています。*4

このような環境とリスクを鑑みて、いまや、あらゆる企業は サイバー攻撃から自社を守るように、より注意しなければな りません。

日本語版PDF         英語版PDF

主要な考慮事項

投資家もいずれはサイバー攻撃の本質、つまり世の中に 蔓延したものでありかつ時には不可避なものであるという ことに気付くでしょう。また、サイバー攻撃は企業のみな らず政府にとっても悩みとなっています。著名な組織体 においては、毎日数千件ものネットワーク侵入の試みを受 けているところもあります。このような状況に対して必要 なのは、事故を早期に発見・対応し、ダメージを抑える仕 組みです。

とくに、動機が何であれ、サイバー犯罪者が高度な手法 を用いてオンライン情報をコントロールする方法を入手し て主要なインフラを脅かすことを想定しなければなりませ ん。主要なセキュリティリスクには、機密情報の漏洩、従 業員のコンピュータにウイルスの意図しないアップロード があり、従業員を対象としたいわゆるソーシャルエンジニ アリング攻撃による情報入手もますます増えています。し かし、複数のシステムに侵入して大量のデータを収集し、 攻撃者の元に送信する持続的標的型(ATP)攻撃を含 むサイバーセキュリティの脅威が増加しているのに対し、 多くの企業では対応するためのプロセス、テクノロジー、 ガバナンスが不足しています。

その結果、効果的な対応プランがなかったために、持続 的標的型(ATP)攻撃等を受け、情報漏洩に至ってしま い、結果に苦慮している企業の数は激増しています。対 応プロセスの向上を求めている組織体は増加しており、 そのためには、以下の 4 つの事項を考慮しなければなり ません。

危機対応をトップマネジメントの優先事項とする

危機に対する準備・識別・封じ込め・駆除はそれぞれ重 要ですが、危機対応について特に重要なのは経営者の サポートを得ることです。過去に非常事態に直面したこ とがある場合は別として、そうでない企業の経営者は強 固な危機対応プログラム構築に予算を与えることに消極 的です。法律や業界規制によって危機対応プログラム が必要な場合でさえ、以下のような落とし穴に陥ることが あります。

  • 企業の事業または IT分野外の責任者を満足させる 程度の中途半端な計画
  • 具体的な報告エスカレーションプランや、計画実行のた めの役割・責任体制、プロトコルなどの欠如
  • 要請への準拠のみ監査し、計画の実施を監査しない
  • 継続的標的型(ATP)攻撃等の新しい脅威に対応す るなど、対応計画のアップデートをしない

経営層のサポートがあれば、これらの失敗を避ける確率 が格段に上がります。

予防的な人的・ITセキュリティ体制を構築する

基準の策定や予備練習が完了したら、その次には従業 員に対する教育を実施しなければなりません。この段階 で、セキュリティの重点は、ITのインフラ基盤から、日々の 業務・活動を通じて企業を支える人的資源へと移行しま す。強固な周知徹底プログラムの構築及び全体的なリ スク意識を高めることにより、従業員はリスクの高い行動 を認識し、攻撃にも対応し、「人的セキュリティ体制」を構 築することが可能となります。

アンチウイルス、アンチスパイウェア、ウェブフィルタリングテ クノロジー等の強固なITセキュリティコントロールに加え、 従業員教育及び意識向上により、適切な人員はテクノロ ジーを活用して必要な結果を出し、またリスクが事業を揺 るがす可能性を低くすることができるのです。

報告プロトコルを活用し、トップの可視性を確保する

いまだにセキュリティ漏洩をIT 部門のみに任せ、取締役 会や経営者がその他の「IT 問題のうちのひとつ」として しか考えていない企業が多くあります。しかし、実際は、 企業は法律上・ビジネス上の目的に応じた危機対応プロ グラムの基準を設定する必要があります。そのためには、 資金・売上・システム、B2BあるいはB2C への影響などの 指標を用いて、事故の危機のレベルを明確に定義しなけ ればなりません。さらには、事故を取締役会に報告する 際の要件も定義しなければなりません。

危機対応のためのオペレーションフレームワークを 構築する

企業は経営者の可視性・サポートのある危機対応プログ ラムを構築する必要があります。そのためには、[1] 企業 の法律上・契約上の義務、[2] プライバシーに関する要件、
[3] サイバーセキュリティ事故の報告ポリシー、[4] 国際事業 の複雑性、の理解に基づき、危機対応チームのためのオ ペレーションフレームワークを危機対応プランに含める必 要があります。オペレーションフレームワークとして、例えば、 以下の項目が必要です。

  • 既存の情報セキュリティプログラムを統合・補完し、テ クノロジーが更新され、企業の内部・外部の接続ネット ワークが文書化されていることを確認する
  • コンプライアンス、IT, セキュリティ、広報、法務、事業部 など、適切な利害関係者からの情報を含める
  • 組織内の役割・責任を明確化する 
  • 報告プロトコル、連絡手続きにより、適切な利害関係者 が事故対応・開示に関する重要な意思決定に関わるよ うにする
  • 事故対応・漏洩の開示に関する法規制上の義務に応 える
  • 事故の規模・性質上、企業内部のリソース能力を超え た場合に、信用できる適格な外部リソースを確保して おく
  • 企業の決定した方針を実行できるよう、当局・メディアに コンタクト先を確保する・
  • 危機対応プログラムを定期的に監査する

すべての必要事項を網羅したわけではありませんが、以 上は企業の危機対応プランの有効性を増強するのに役 立つポイントです。企 はまた適切な外部リソース(国際 的ビジネスを営むのであればグローバルに)を確保するこ とや、当局との関係を慎重に考慮する必要があります。セ キュリティ事故が発生した場合に備え、対応プランは関連 情報・証拠を保全し、必要な法的措置をとり、eディスカバリ に関連する費用・時間・負担をも考慮しなくてはいけません。

[1]    Executive Perspectives on Top Risks for 2013: Key Issues Being Discussed in the Boardroom and C-Suite「経営者による2013 年トップリスク」: プロティビティ及びノースカロライナ州立大学 ERM Initiative  
[2]    “Human Frailty Lets Cyber Thieves Attack, Expert Says” Brian Browdie, American Banker, March 19, 2013/08/13
[3]    プロティビティSEC Flash Report SEC Staff Provides Guidance on Public Companies’ Disclosure Obligations Relating to Cybersecurity Risks and Cyber Incidents, 2011 年 10月
[4]    “Cyberattacks, Data Breaches Scare Off Investors, Study Says” John P. Mello, Jr., Network World 2013/2/27

以下は企業の営む事業に内在するリスクの性質に応じ て、取締役会が考慮すべき事項です。・情報漏洩の発生・増加・影響を低減できるような事故対 応プロセスが導入されているか。企業の規模、文化、法 律上の要請、事業目的に沿った対応プランの策定に主要 な利害関係者のサポートがなされているか。・企業の事故対応プランは、事故の性質に応じてアクショ ンを特定した手続きにより補完されているか。また、この 手続きは定期的に評価されているか。・取締役会が事後報告を受けるべき事故と、対応自体に 関与すべき事故が明確化されているか。

プロティビティはセキュリティ事故・攻撃について世界クラ スの事故対応・法務調査プラクティスを確立し、対応計画 の実行、法務調査分析、対応計画の高度化について専 門性を有しています。プロティビティは世界中でIT 環境 及び企業全体に対するサイバー攻撃を予防し、危機対 応・法務調査サービスを提供し、攻撃の影響を低減すると ともに回復・改善措置の支援を実施しています。さらには、 企業のコーポレートガバナンス、従業員教育、報告プロセ スへの取り組みも支援しています。プロティビティは米国 PCIカウンシル及び主要クレジットカードブランドによって 事故対応・調査サービスを提供する会社として認められ た8社のうちの1社であり、また、CSO Magazine誌の「21 世紀の 15 最悪セキュリティ漏洩」のうち2 件について事 故対応サービスを提供した実績があります。

全ての関連情報は

こちらへ
Loading...