{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
新型コロナウイルス感染症(COVID-19)が企業運営に与えるサイバーセキュリティ上のインパクトと考慮点
世界保健機関(WHO)によるパンデミック宣言や日本政府による緊急事態宣言を含め、新型コロナウイルス感染症(COVID-19)は、私たちの生活や家族、コミュニティに大きな影響を与えています。同時に企業にも直接的な影響を与えており、具体的には在宅勤務(リモートワーク)をはじめ、従業員の働き方に急激な変化をもたらしています。こうした変化は組織のサイバーセキュリティに対し、どのような影響を及ぼすのでしょうか。
PwC英国はこのたび、企業のセキュリティリーダーの皆様のお役に立てるよう、ウェブページ「How to manage the impact of COVID-19 on cyber security」とレポート『Whitepaper:Managing the impact of COVID-19 on cyber security[PDF 626KB]』を公開しました。日本よりも甚大な被害が出ている同国における、COVID-19が企業運営に与えるサイバーセキュリティ上のインパクトと考慮点を整理し、紹介しています。
本記事では、PwC英国が発信した情報を抜粋するとともに、筆者の経験に基づくインサイトを加えて日本語で解説しています。
本記事は2020年3月20日発表の英語版からの翻訳です。翻訳には正確を期しておりますが、英語版と解釈の相違がある場合は英語版に依拠してください。
長期の外出自粛要請や経済活動の停滞が、企業の業務運営面や財務面に大小の影響を与えることは間違いありません。これらによって、この先の投資優先度や予算計画が見直され、ITやサイバーセキュリティへの対応についても、延期や予算の削減といった対応が行われる可能性があります。優秀なIT・セキュリティ人材の採用も縮小・凍結されるかもしれません。こうした動きは、サイバー攻撃の脅威に対する組織の持続的・計画的な強化を停滞させることにつながりかねません。
また、各企業では、在宅勤務への急速かつ大規模な切り替えが進んでいますが、これに伴い、企業にとって必要なITインフラの機能や性能が大幅に変化しています。これと同時に、サイバー攻撃の端緒も変化し、増大することが考えられ、企業のサイバーセキュリティにも大きな影響が生じるでしょう。例えば、IT・セキュリティ部門は、在宅業務で不便さや不満を抱えた各部門からの数え切れない問い合わせに追われることが想像されます。また、在宅勤務に対応するための機器の手配や配布、サービスや通信回線の拡充の検討・導入などをスピーディーに進める必要があります。こうした対応が遅れると、従業員によるShadow IT(IT統括部門が把握せずに従業員が業務に使用しているデバイスやクラウドサービス)の利用が増加する可能性があります。従業員がクライアントとの商談時に脆弱なWeb会議サービスを利用したり、貸与PCの機能・アクセス制限を回避するためにプライベートPCやSNSで重要情報を取り扱ったりいったことも考えられることから、企業は環境整備をスピーディーに進める必要があるでしょう。
上述した変化の中では、新たに生じるサイバーリスクの端緒を1つずつ確認し、セキュリティ対策を漏れのないよう同時並行的に進めていくことが必須となります。しかしIT・セキュリティ部門もリソースが限られているため、在宅勤務の利便性確保に向けた機能や性能拡充に時間を割かれると、変化の中で生じる新たなサイバーリスクに対応できなくなる危険性が大きくなります。
外部委託している業務も同様です。受託先は、各委託元から追加されるさまざまな要求に対処するリソースが不足し、適時のセキュリティ監視やパッチマネジメントにも影響が出る可能性があります。
COVID-19は従業員への感染といった悪影響だけでなく、セキュリティリスクを増大させるさまざまな要因をも生み出します。こうした危機的な状況においては、経営陣によるサイバーリスクへの認識はもちろん重要です。しかしながら、経営陣自体も過去にない未曽有の困難に直面しているわけであり、上記以外のさまざまな問題にも対応していかなければならず、サイバーセキュリティへの意識は相対的に薄れるかもしれません。
そうした時に重要な役割を果たすのが、セキュリティを担当する役員(CISO : Chief Information Security Officer)やリーダーです。彼らが、経営陣やIT・セキュリティ部門のメンバー、あるいは在宅勤務を行う従業員に、それぞれの役割に必要な情報を提供し、注意喚起を行い、セキュリティが置き去りにされないよう促し続けていくことが、不透明感の漂う現在のような状況において全社的なセキュリティを維持していく鍵になるはずです。そうすることで、こうした状況においても、安全な業務運営が確保されるものと筆者は考えます。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
