Risk Oversight vol.66 ​ サイバー攻撃リスクを自信を持って管理する　

主要な考慮事項

企業全体にわたって最も重要な情報資産を定義したり、サイ バーセキュリティリスクに対する許容度の徹底的な評価に重 点的な注意を払ったりしている企業はほとんどありません。現 実には、ほとんどの企業は自らのリスク許容度は低いと考えて いますが、あたかもそれが比較的高いかのように行動していま す。知らず知らずのうちに、全てのシステムと情報資産に同一 水準の高いリスク許容度を適用してしまうのです。実際、本当 に重要な情報資産とシステムに焦点を当てている企業はほとんどありません。

実際、セキュリティを確保するということは容易ではありません。 全てのサイバーセキュリティを効果的に管理できる組織はどれ だけあるでしょうか。防衛境界線の内側で業務を行うために 雇われたIT業務受託者によるうまく仕組まれた攻撃を防止で きる組織はどれだけあるでしょうか。そのような組織は多くあり ません。しかし、対象を絞った投資とセキュリティリスク許容度 の引き下げにより、組織は最も重要な情報資産のセキュリティ 確保により近づくことができます。

誰もが自宅におけるセキュリティリスクを認識しています。ほと んどの自家保有者は、自宅が犯罪者の標的となるリスクを低減 するために、全ての入り口を施錠する、外出時には照明をつけ たままにする、あるいは手頃な価格のセキュリティシステムを据 え付けるといった基本的な対策を講じていますし、ゲートのある コミュニテイに住むことを選択する人もいます。しかし、これら の対策のいずれか、あるいはそれらの組み合わせによって、特 定の住居に標的に定めた者による侵入を確実に防止できると 本当に信じている人はいるでしょうか。おそらくはいないでしょう。

ほとんどの家の持ち主はこのようなリスクを受容しています。彼 らは住居への侵入を困難にすることに加えて、家財や貴重品 に保険を掛けることにより残余リスクをカバーしています。多く の人は、貴重な資産や重要な文書・記録といった本当に重要 な少数の物品に焦点を当てることを合理的と考え、追加的な予防措置を講じています。ほとんどの人は、自宅に強盗が押し 入ることなど考えたくもないわけですが、自らの財産を保護する ために手間を掛けたり金銭を支出したりすることを厭いません。

企業ではこのような合理的な思考プロセスをうまく適用できて おらず、全社的なセキュリティの確保について誤った認識を 持っています。セキュリティはハッキングや技術的侵害に関す るものだけではありません。ほとんどのサイバー攻撃は巧妙に 行われますが、必ずしも技術的なものだけではありません。サ イバー攻撃はハッキング技術を利用する場合もありますが、攻 撃者は業務受託者として防衛境界線の内側に入れば事足り るため、多くの場合にはこのスキルは必要ではありません。さ らに言えば、ほとんどの組織においてはセキュリティを突破する ことは困難ではないことから、業務受託者になることすら必要 ではないかもしれません。

ここでは、水際対策ではなく、ITセキュリティに関して適切な焦 点を当てる上での3    つの重要な点について考察を行います。

最も重要な情報資産を保護する上での最重要事項に焦点を 当てる ─ 多くの組織の ITセキュリティにおける焦点は特定 されているというよりも包括的となる傾向にあるため、全てのシ ステムについて同じ方法による保護措置が取られる、最も重要 性の高い資産に十分な注意が払われない、不必要なコストが 生じるといった結果となります。価値の高いデータ、情報およ び情報システムの識別を行うためには、IT 組織が事業部門の リーダーと協力し、様々な資産に係るリスク許容度について合 意する必要があります。これは ITセキュリティ管理の焦点を 最も重要性の高い領域に当てる上での助けとなります。取締 役会の監視の下、IT組織と事業部のリーダーは、以下のような 事項を検討すべきです。

• 組織における最も重要性の高いデータ、情報資産および情 報システムは何か。それらが最も価値の高い資産であるの はなぜか。失われてはならないものは何か。
• 最も重要性の高い資産はどこにあるのか。それらはその場 所以外には本当に存在しないのか。
• 最も重要性の高い資産へのアクセスはどのように、いくつの システムを介して、行われているか。
• 最も重要性の高い資産へのアクセス権限を有しているのは誰か。ITサポートを行う業務受託者を介してアクセスする ことは可能か。誰が、何に基づいて、業務受託者への権限 付与を行っているのか。

これらおよびその他の事項の検討は、組織の予防的および発 見的セキュリティ対策とインシデント発生時の対応計画におい て焦点を定める上で助けとなります。

変わり続けるサイバー攻撃の状況を理解する ─ 最近行わ れたグローバルな調査では、サイバー攻撃とそれが企業の中 核的事業を混乱させる可能性がリスクの上位に位置付けられ ており、ほとんど全ての業種において上位 5のリスクの一つとさ れています。さらに、プライバシーや個人情報および情報セキュ リティに関する課題も、上位 10のリスクに含まれています。^[1]

取締役は、これらのリスクや、自らの企業が直面するその他の 重要なリスクを的確に理解しているでしょうか。おそらくそう ではないでしょう。複数の業種にわたって前例のない規模の サイバー攻撃が行われ、知的財産と事業機密が遺失しレピュ テーションが損なわれたとの報道が、取締役会に対する警鐘と なったのはこのためです。取締役は、サイバーセキュリティは 全社的セキュリティの課題であり、単にITセキュリティの課題 に留まるものではないことに気が付き始めています。

重要なセキュリティリスクには、機密情報の漏洩、従業員のコ ンピューターへの意図しないウィルスのアップロード、従業員が 機密情報入手を目的とするソーシャル・エンジニアリングの一層 の標的となることが含まれます。多くの組織は、複数のシステ ムに侵入し、長期間にわたって大量のデータを収集し、そのよ うなデータを敵対者または攻撃者のネットワークに送信すると いった高度で持続的な攻撃を含む今日の洗練されたサイバー 攻撃と効果的に闘うためのプロセス、テクノロジおよびガバナン スを欠いています。

企業が持つ最も重要な情報資産、業種と事業活動の特性、お よび潜在的な攻撃目標としての知名度に基づいて、経営者は組織のサイバーセキュリティリスクを評価し、以下の事項を検 討すべきです。

• 誰が攻撃を行ってくる可能性があるか。
• どのように攻撃を行ってくる可能性があるか。
• 自社の最大の脆弱性はどこにあるか。
• 業務委託先と社内関係者に対するエクスポージャーは何か。
• これらの課題の管理における現在の内部統制はどの程度 有効で、何が我々にとっての負担になっているか。
• 侵入テストを行っているか。そうであれば、どのようなテスト 結果であったか。
• 内部監査人および外部監査人はどのような課題を指摘して いるか。
• 過去のサイバー攻撃の特質と深刻度はどのようなもので あったか。再度攻撃が行われた場合に、どのようにそれを 知ることができるか。
• 何かが生じた場合の事業への影響を明確に理解しているか。

これらおよびその他の事項への回答は、変わり続けるサイバー 攻撃の状況を明確にし、セキュリティ対策の実施において方 向性を示す上で助けとなりうるものです。

インシデントや危機に備える ─ 組織が取る予防的措置にも 関わらず、様々な規模のサイバーインシデントは不可避的に発 生します。企業が効果的なインシデント対応計画の策定に率 先して取り組む必要があるのはこのためです。対応計画は、 機密データや個人特定情報を保持する組織にとっては特に、 単なるベストプラクティスというだけではなく、然るべき注意を払 う義務があり、かつそれを実践しなければならないものでもあり ます。

過去においては、多くの組織は事業継続性テストを1 年または 半年ごとに行っていました。これらのテストは、発生可能性が 比較的低いインシデントへの企業の対応について完全なシミュ レーションを行うというものでした。現在、組織は発生可能性 が比較的高い事業継続に関するインシデントが生じる恐れに 直面していますが、そのようなインシデントに対する適切な準備 を行っている組織はほとんどなく、事業継続性テストを行ってい る組織はさらに少ないというは皮肉なことです。事業継続プロ グラムのテストと同じロジックを、効果的なインシデント対応プログラムにも適用することが必須です。率先した対応を行うこと により、組織が予期せぬ事態に対処し、最悪の事態に備えた 計画を立てることが可能になります。

効果的なインシデント対応プロセスは、サイバー攻撃の影響を 低減する準備をするために非常に重要です。包括的なイン シデント対応プログラムに関する予算措置を確実にするため には上級経営者のサポートが必要です。伝統的に、最高情 報責任者以外の上級経営者は、インシデント対応計画の実施 にほとんど関与してきませんでした。しかし、米国国立標準技 術研究所が作成したサイバーセキュリティの枠組み、侵害事 案の開示に係る要件、および個人特定情報に関する業界規 制と基準が出されたことや、重大な侵害事案に関する最近の 報道を受けて、上級経営者は現在、このような取り組みをよりサ ポートするようになってきています。これらのプログラムは、現行 のITセキュリティの統合と補完を行い、様々なステークホルダー（例えば、コンプライアンス、IT、企業セキュリティ、広報、法務） の視点と関与を組み込んだインシデント発生時において従わな ければならない明確な方向性と中核的プロセスを提供します。

このプログラムは、組織内のグループと個人に対して役割、責 任および説明義務を割り当て、対応と開示に関する重要な意 思決定への適切なステークホルダーの関与を確実とする報告 ルートと情報伝達手続を定め、具体的なインシデントの種類に 応じて取るべき行動に関する指導要領を示すべきです。例え ば、分散型サービス妨害（DDoS）攻撃への対応方法は、マル ウェア・インシデントの管理方法とは大きく異なります。

インシデント対応計画は、少なくとも1 年ごとに評価を行い、インシ デント対応や侵害事案の開示に関する規制上の義務に対応 しなければなりません。また、インシデント対応計画は組織の決 定を素早く行動に移すために、適切な関係者が法執行当局お よびメディとのコンタクトを維持することを確実なものにしなけれ ばなりません。また、インシデントの範囲や内容が社内の人的リ ソースだけでは量あるいは能力を超える場合には、信頼性と適 格性を備えた第三者の支援を得られるようにすべきです。

[1] プロティビティとノースカロライナ大  学 ERMイニシアティブが行った調 査の結果「Executive Perspectives on Top Risks for 2015: Key Issues Being Discussed in the Boardroom and C-Suite, Protiviti and North Carolina State University’s ERM Initiative」は、以下のウェブサイトから入手可能です