Netpress 第2124号 重要な経営課題 セキュリティインシデント」発生前提で取り組もう!
1.サイバーセキュリティは経営課題の一つであり、セキュリティインシデントは「必ず発生するもの」と認識しましょう。
2.対策として、まずは「情報資産の整理」「連絡窓口の設置」「相談先の確保」から始めましょう。
さくら情報システム株式会社
技術開発部 鈴木 優一
あらゆる情報やデータを利活用するデジタル時代にあっては、安心安全なサービス提供のための「サイバー空間における安全の確保とリスク管理」、すなわち「サイバーセキュリティ対策」(以下、サイバーセキュリティといいます)に取り組む重要性がますます高まっています。サイバーセキュリティにおいて、企業が抱える重要な課題の一つが、サイバー攻撃によるセキュリティインシデントや事故(以下、インシデントといいます)への対策です。
近年、企業を狙ったサイバー攻撃は、日増しに高度化、巧妙化しており、情報漏えい、不正アクセスなどの被害は後を絶たず、頻繁にメディアで報道されています。インシデントの被害規模が大きければ、企業の信用やブランド価値は低下し、場合によっては賠償問題や訴訟にまで発展するケースも少なくありません。こうした背景から、サイバー攻撃に対するインシデントへの備えは、企業におけるリスクマネジメントであるともいえます。
そこで、「サイバーセキュリティの重要性」と「インシデントに備える考え方や取り組むポイント」について解説します。
1.サイバーセキュリティは経営課題
経済産業省とIPA(独立行政法人 情報処理推進機構)が共同で策定した企業の経営者向けの「サイバーセキュリティ経営ガイドライン」(以下、ガイドラインといいます)には、「サイバーセキュリティは経営問題」と冒頭に大きく明記され、企業に対して、経営者がリーダーシップを発揮して対策に取り組む重要性を訴えかけています。
一方、JCIC(一般社団法人 日本サイバーセキュリティ・イノベーション委員会)の調査[*1]によると、情報漏洩などのインシデントを起こした企業の株価は、全体平均で10%(東証一部以外の上場企業は平均15%)下落し、純利益は平均で21%減少したことが明らかになっています。
[*1] JCIC調査レポート:2018年9月「取締役会で議論するためのサイバーリスクの数値化モデル」
<https://www.j-cic.com/pdf/report/QuantifyingCyberRiskSurvey-20180919(JP).pdf>
大企業と比較して、中堅・中小企業の株価への影響が大きい要因は、ビジネスが特定事業に依存するため、その事業への攻撃の影響によるものと分析されています。
このようなことから、サイバーセキュリティは、もはやIT部門だけの問題ではなく、企業経営の持続的成長を揺るがす経営課題であるといえるでしょう。
2.インシデントへの備え
インシデントによる損失を抑えるには、発想の転換が必要です。どんなに万全なセキュリティ対策を施したとしても、高度なサイバー攻撃を防ぎ切ることは極めて難しいのが現状です。
したがって、「インシデントは発生しない」という発想から、「必ず発生するもの」という発想へ転換しましょう。この発想に基づいて対策を講じることで、被害に遭っても影響を最小限に抑えることができます。
具体的な例として、先に挙げたガイドラインでは、CSIRT[*2]と呼ばれる平時に脅威動向などの情報収集を行い、有事には被害の拡大を防ぎインシデントへ対処する体制(または機能)の構築が推奨されています。
[*2] CSIRT(Computer Security Incident Response Team)…主に企業などの組織内に設置され、コンピュータシステムやインターネットなど、ネットワークに保安上の問題や事故(インシデント)が生じた際に対応する組織体制または機能のこと
3.いますぐ取り組める3つのこと
では、CSIRTの体制構築や機能の整備をすぐに行うことができるでしょうか。
特に大企業ほどのリソースがない中堅・中小企業においては、ガイドラインに記載されたあるべき姿を目指すのではなく、まずできるところから始める柔軟な発想が大切です。
そこで、具体的に取り組んでいただきたいのが、次に挙げる3点です。
これらは、インシデントによる損失を抑える「はじめの一歩」です。インシデント対応に必要な最低限の機能を整備することに貢献します。初歩的なことで、すでに取り組んでいることがあるかもしれませんが、先のガイドライン内でも示されている3原則(「リスク認識とリーダーシップの発揮」「サプライチェーンの強化」「関係者との適切な情報共有」)と密接に関係する大切な取り組みです。
4.最後に
サイバーセキュリティは経営課題であり、サイバー攻撃を防ぐことは、どの企業にとっても共通の課題です。組織の枠を超えた横のつながり=形成されるネットワーク(社外関係)そのものが重要であり、上記の3つの取り組みは、この点にも作用します。
また、単にセキュリティ製品やサービスの導入を提案するだけではなく、自社に寄り添って支援してくれる相談先を見つけることが大切です。
どんなセキュリティ対策も「100%安全」はあり得ません。終わりのない変化が必要ですから、できるところから始める意識(アウェアネス)をもって取り組んでいきましょう。
この記事はPDF形式でダウンロードできます
SMBCコンサルティングでは、法律・税務会計・労務人事制度など、経営に関するお役立ち情報「Netpress」を毎週発信しています。A4サイズ2ページ程にまとめているので、ちょっとした空き時間にお読みいただけます。
プロフィール
SMBCコンサルティング株式会社 ソリューション開発部 経営相談グループ
SMBC経営懇話会の会員企業様向けに、「無料経営相談」をご提供しています。
法務・税務・経営などの様々な問題に、弁護士・公認会計士・税理士・社会保険労務士・コンサルタントや当社相談員がアドバイス。来社相談、電話相談のほか、オンラインによる相談にも対応致します。会員企業の社員の方であれば“どなたでも、何回でも”無料でご利用頂けます。
https://infolounge.smbcc-businessclub.jp/soudan