名和 利男が説く、経営判断に不可欠な「脅威・脆弱性情報」の利活用術 第1回

2018-02-01

ITに依存した今日のビジネス環境では、サイバー攻撃は経営の根幹をゆるがす重大な脅威です。サイバー攻撃を未然に防ぐための準備を実施することに加え、サイバー攻撃を受けた際に、最適な対処・対応をいかに迅速に進めるかが重要になります。システム担当者が、サイバーセキュリティの脅威・脆弱性情報(サイバー攻撃の被害状況や発生原因をまとめた情報、以下、脅威情報)に目を光らせ、事前の対策を講じることが必要となります。もしサイバー攻撃の発生やその予兆を察知した場合に、システム担当者から経営層へ報告されても、経営層が理解できないと説明や対応策の承認に無駄な時間が費やされかねません。しかしながら、経営層が常に脅威情報に触れることで、発生したサイバーインシデントによる影響を推測し、速やかに関係部署に対して適切な指示を出すことができるようになります。最適な対処・対応を進められるため、事業への被害を最小限に抑えることが可能になります。

サイバー攻撃を受けたときも、最適な情報武装で適切な経営判断と指示を下すべし

現代は脅威情報をもとにした経営判断が必要な時代

脅威情報は、海外では脅威などの情報が集められたもの、またその情報をつなぎ合わせ脅威の知見を導きだすといった意味で、「スレットインテリジェンス」と呼ばれています。脅威情報は、世界各地で発生するサイバー攻撃や、攻撃による被害、想定される危険性、プログラムやシステムの不具合・脆弱性情報など、さまざまな脅威情報がまとめられたものです。

脅威情報は、事業の継続に不可欠なセキュリティ情報

経営層やサイバーセキュリティリーダーは、脅威情報を欠かさず把握

PwCサイバーサービス合同会社 最高技術顧問 名和 利男

PwCサイバーサービス合同会社 最高技術顧問 名和 利男

脅威情報を読むことで、攻撃防御に必要な時間を無駄にしない

実際に発生したサイバー攻撃の事件を踏まえた事例を二つ想定し、採るべき対応策を紹介します。一つ目は、不正送金を行うプログラムを利用し、ネットバンクから莫大な額が盗み取られるといったサイバー攻撃のケースです。本来、銀行などにサイバー攻撃が発生した場合、省庁や金融機関では、いち早く詳細な情報を取得し、迅速に攻撃を防ぐ対処が求められます。事件が発生した場合、重要なことは、いち早く詳細な情報を取得し、さらなる攻撃を防ぐ対処を迅速に行うことです。現場から経営層への被害報告や対外的な公表がタイムリーに実施され、経営層が攻撃を最小限に抑えるための対処判断を下せることで、他行に同様のサイバー攻撃の被害が波及することを防ぐことができます。

二つ目は、ショッピングサイトが改ざんされ、ECサイトの顧客情報やクレジットカード情報が奪われるサイバー攻撃のケースです。この場合も前述のネットバンクの例と同様の対応が重要になります。サイトにサイバー攻撃を受けたことを検知したシステム部が状況を確認し、経営層へ速やかに報告して対応と判断を求めます。経営層は直ちに主要な役員を招集し、対策方法の協議を行います。その場でサービスの一次停止をはじめ、攻撃への対処や事業継続に必要な決断や指示を下します。

「企業の経営層が普段からサイバー攻撃の脅威情報を把握する」ことが、迅速な対応が行うための鍵となります

事業継続の判断に活用可能なPwCの脅威情報

国内でもさまざまな脅威情報が発行されています。しかし、その多くは技術情報が中心のため、技術者以外には難しい内容でした。経営層が求めている情報は技術情報ではなく、「サイバー攻撃が事業へどのように影響するか」です。経営層には、経営観点でまとめられている脅威情報が必要です。

しかしながら、海外で発生したサイバーインシデント情報は、日本語に翻訳されて報道されるまで時間がかかります。また、海外の情報はそもそも報道されないケースがほとんどなのです。情報を待っている間に、国内でも攻撃の被害を受けてしまう可能性もあります。インシデント被害に遭わないために、時間を無駄にすることは許されません。
PwCサイバーサービス合同会社の「脅威・脆弱性情報提供サービス」は、経営層の方も理解し、経営判断に活用できる内容で構成しています。PwCのグローバルネットワークと連携することで、国内外のさまざまな脅威および脆弱性に関する情報を収集し、最新の脅威情報を作成しています。収集した情報をもとに、サイバーセキュリティやテクノロジーに精通した翻訳者が正確性を維持しながら、経営層が事業判断に使える言葉でまとめています。

脅威情報は経営層が必要になるサイバー攻撃の情報を集約し、限られた時間の中で必要な情報を把握できます。継続して購読するとサイバー世界の動向を把握できるため、緊急時にも的確な判断が可能になります。

多忙なスケジュールのわずかな空き時間で、国内外のさまざまな脅威情報を「サイバー攻撃が事業へどのように影響するか」という視点で理解する

トライアルの脅威情報サービスで脅威情報の有効性を実感

PwCサイバーサービスの「脅威・脆弱性情報提供サービス」は、30日間無償で試せるトライアルを行っています。配信された情報をもとに、サイバー攻撃動向を常に把握することで、攻撃発生時にも迅速な対応が可能となります。まずはトライアルを試して、脅威情報の有効性を実感してください。

脅威情報は、サイバーセキュリティリーダーのみならず、経営層も毎日知るべき情報です。経済ニュースを購読するのと同じレベルで、「必要・不可欠な情報である」と捉えてください。脅威情報を読むことは、これからの企業経営の基盤を支える防具です。

主要メンバー

星澤 裕二

パートナー, PwCサイバーサービス合同会社

Email

名和 利男

PwCサイバーサービス合同会社 最高技術顧問, 東京

Email


名和 利男が説く「最新サイバーセキュリティ動向と経営者への提言」 

Contact us

Follow us