今回は、サイバーリスクから組織を守るための6つの対策ついてご説明いたします。
(はじめに)サイバーリスクについて
サイバーリスクは、サイバー攻撃だけに限られません。また、常に私たちが被害者であるとも限りません。加害者になる場合もあります。
サイバーリスクの全体像、分類については以下の記事をご参照ください。
サイバーリスクが高まっている背景
サイバーリスクの脅威は日に日に増しています。それは主に以下の理由によるものです。
- 情報の電子化により、企業にとって被害に遭う可能性のある無形資産が増加している。
- 情報処理を行うサーバーや端末の増加に伴い、サイバー攻撃の対象となるリスク、データ流出・紛失のリスクが高まっている。
- サイバー攻撃の手口が多様化、巧妙化している。
企業にとって、かつて盗難といえば商品や現金などの現物の盗難でしたが、今や電子データの盗難の被害のほうが多くなっています。また、無形資産を「人質」にした「身代金」目的のサイバー攻撃も急増しています。
ひとたびサイバー関連の被害に遭った場合、資産の減少のみならず、顧客や取引先との関係悪化などの信用問題にもつながりかねません。
サイバーリスクから組織を守るための6つの対策
サイバーリスクに対して適切な対策を講じることで、大切な経営資源を保護したり、万一被害が起きた場合でもその被害を最小限にして復旧を早めることができます。その対策方法を6つに分けて説明いたします。
物理的対策
物理的対策とは、守るべき資産を、危害を加えようとする犯罪者から物理的に保護するための対策です。
具体例は以下の通りです。
- 警備員によるパトロール
- サーバー室への施錠
- 侵入者の検知システム
- 生体認証システムによる特定の施設へのアクセス制限
たとえ重要施設からの距離が離れていても、離れた場所から電磁的な方法で重要設備やその中のデータを破壊しようと試みる者もいるので注意が必要です。
手続き的対策
手続き的対策とは、サイバーリスク対策を制度面で整えることです。
普段から、サイバー被害に遭わないように、あるいは万一遭った場合に備えて、その役割や手順を決めておくことが大事です。
手続き的対策のメインとなるのがサイバーセキュリティポリシーの構築です。サイバーセキュリティポリシーでは、通常、以下の内容が盛り込まれます。
- システムにアクセスできる者の権限
- 最低限満たすべきシステム要件
- サイバー被害にあった時に取るべき対応
サイバーセキュリティポリシーには、心理的な抑止効果もあります。
例えば、従業員が、業務とは関係のない、不適切なサイトにアクセスしたことがきっかけでシステムが攻撃を受けたり、電子データが盗まれたりすることがあります。
このような被害を減らすためには、サイバーセキュリティポリシー上で、どのような行為が禁止されているか、そして禁止行為をした場合の罰則にはどのようなものがあるのかを明示することが効果的です。
さらに、自社の不適切な個人データの取り扱いにより情報が外部に流出してしまうと、自らが加害者となることで経済的な被害(被害者への損害賠償金の支払)を負うこともあります。
このような自らが加害者となることで起こる損害についても、サイバーセキュリティポリシー上で個人情報の取扱いに関する各種手続きを定めておくことで軽減することが可能です。
人事的対策
人事的対策とは、主に組織内の従業員に対する対策です。
自組織のことを熟知している従業員はたいていは頼もしい存在ですが、時には脅威となります。
内部のことを知り尽くし、電子データにアクセスできる権限を持っている従業員であれば、貴重な内部データを社外に持ち出すのは簡単でしょう。
自己の利得目的で電子データを盗み出す従業員もいれば、待遇への不満などから、組織に危害を与えることを目的に情報機器やデータを破壊しようとする従業員もいます。
また、悪意はなくとも、従業員が不用意にダウンロードしたソフトウエアがきっかけとなって、企業にとっては欠かせない情報が社外に流出してしまうかもしれません。
これらの例のように、完全に防ぐことは難しい従業員のサイバーリスクですが、以下のような人事的対策で被害を抑えることが可能です。
- 適切な採用プロセス(前歴のチェックなど)
- 従業員教育(禁止行為とその罰則に関する教育を含む)
- 従業員の退職後の管理(アクセスの停止、付与していたパスワードのリセットなど)
管理的対策
管理的対策とは、サイバーリスクを軽減あるいは発見するための体制を構築、管理、監視する対策のことです。
この管理的対策には、他の5つの対策がうまく機能するように管理することも含まれます。したがって、他の5つの対策を包容した対策と言えます。
通常は、組織内で指定された責任者が主導して、サイバーリスク対策の体制構築、管理、監視を行います。それらの活動には以下のようなものがあります。
- データバックアップ体制の監督
- 職務の分離(一部の者に権限を集中させない)
- 全体へのコンプライアンス教育
- リスク軽減効果の測定
- 既存の対策の改善、アップデート
調査・刑事上の対策
調査・刑事上の対策とは、起こってしまったサイバー被害の調査、報告、訴追に関する対策です。
サイバー被害はしばしば関連機関に報告されないことがあります。その理由には次のようなものがあります。
- 風評被害のおそれ
- 競合他社を利することになるかもしれないとのおそれ
- 関連機関に通報しても助けにならないとの考え
しかしながら、自らには過失がないサイバー被害などは、早めに情報公開をすることで利害関係者からの信頼を得ることができます。
また、貴重な情報を「人質」とした「身代金」目的のサイバー攻撃においては、組織が決して犯罪者へ身代金を支払わないという姿勢を公にすることで、同様の被害の連鎖を断ち切ることにもつながります。
サイバー被害の調査、報告、訴追を行うことは次の利点もあります。
- 関連機関(警察など)の技術的な協力を得ることができる
- サイバー被害を調査し、原因分析をすることで、再発防止に役立てることができる
- 自組織にサイバー被害の調査機能があることを対外的に示すことで犯罪者をけん制できる
なお、個人情報の外部流出など、一部のサイバー被害は法律で報告が義務付けられています。
早期復旧プログラム
早期復旧プログラムは、サイバー被害の軽減およびその被害からの早期復旧を目的としています。
早期復旧プログラムが整っていなければ、情報資産そのものの被害に加え、業務中断による収益減少の被害も拡大しかねません。
言い換えれば、整った早期復旧プログラムは、情報資産と収益の両方の被害を抑えることができます。
早期復旧プログラムには以下の項目が含まれます。
- 重要情報の保護、隔離
- コンピューターシステムのバックアップ体制の構築
- 資源確保(人的、金銭的、技術的資源)
- 早期復旧プランの策定および訓練
- メディア対策
- 取引先との連携
なお、これら6つの対策はそれぞれが独立したものではありません。相互に関連し合い、全体として一つのサイバーリスク対策になります。
おすすめ記事・カテゴリー
まとめ
サイバーリスクから組織を守るための6つの対策
- 物理的対策
- 手続き的対策
- 人事的対策
- 管理的対策
- 調査・刑事上の対策
- 早期復旧プログラム
最後までご覧いただき、ありがとうございました。
コメント