{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
名和 利男が説く、経営判断に不可欠な「脅威・脆弱性情報」の利活用術 第2回
2018-04-19
ITに依存した今日のビジネス環境では、サイバー攻撃は経営の根幹をゆるがす重大な脅威です。サイバー攻撃を未然に防ぐための準備を実施することに加え、サイバー攻撃を受けた際に、最適な対処・対応をいかに迅速に進めるかが重要になります。
前回は、企業の経営層が脅威情報を把握することで、サイバー攻撃が発生したときにも迅速な対応が行えること、事業継続の判断に活用できることをお伝えしました。今回は、攻撃が発生したときに経営判断を下す時間を短縮するために必要な脅威情報の読み解き方を説明します。
PwCサイバーサービス合同会社 最高技術顧問 名和 利男
脅威情報は誰が知るべきか
企業の事業活動では、インターネットの活用が不可欠になっています。もしサイバー攻撃を受けてインターネットやITシステムがダウンすると、事業活動に大きな影響が発生します。そのため経営層は、サイバー攻撃を受けた際、どのように事業に影響を与えるか、速やかに見積もることが不可欠です。
多くの場合、サイバー脅威の情報を把握しているのはIT部門やCSIRTの方々が中心でしょう。彼らはシステムの安定運用や、発生したインシデントへの迅速な対応・解決などの業務を日々行っています。万が一、サイバー攻撃を受けてシステムに被害が発生した場合、IT部門やCSIRTは経営層に緊急連絡します。報告を受けた経営層には、被害状況の把握、事業継続の是非、代替手段の有無を迅速に判断し、発生原因や回復に至るまでの説明を行う責任が発生します。
経営層が、「積極的な情報収集」を実施する必要がある
IT部門やCSIRTに説明を求めようとする経営者は、少なからず存在します。しかし事業継続にかかわる対策方法や説明は、事業に参画していないセキュリティ担当であるIT部門やCSIRTには判断できません。状況を判断して、適切な対策を推進することは、事業部門の長たる経営層や執行役員の責任です。迅速かつ的確な判断を下せるように、経営者はサイバー脅威に関する情報を日々把握しておく必要があります。
サイバー攻撃による事業への影響判断や対策方法の説明は、経営層が責任を負うべきもの
サイバー脅威の基礎知識はなぜ重要か
万が一サイバー攻撃を受けてしまった場合、その時点からサイバー脅威について理解しようとしても、時間ばかりかかってしまい、必要な対策や指示が遅れてしまいます。時間を無駄にすることで被害が拡大し、事業停止や営業機会損失が発生する可能性が高くなります。サイバー攻撃を受けた場合は迅速に対処行動を指示し、開始することが重要です。
災害や事故などが発生した場合であれば、状況が把握しやすく、対処も進めやすいでしょう。しかしサイバー脅威は難解な用語や言い回しがあるため、ある程度の知識がないと事態を把握しにくいところがあります。事業を推進する立場であれば、ITやセキュリティの知識は習得すべき事柄ですので、「難しい」「わからない」と言わず、脅威情報などから、是非サイバー脅威に関する言葉や事案の理解に努めてみてください。またIT部門やCSIRT担当者は、経営層にサイバー脅威の情報を提供する場合、難しいIT用語を使わずに、理解しやすい言葉で伝えることが重要です。
言葉の意味するところがわかっていれば、インシデントの報告を受けたとき、想定される事案やリスクの見積もりが容易になり、的確な回避策を見いだすことにつながります。経営層は、自ら手がけている事業の仕組みが、サイバー攻撃を受けたときにどのような影響を受け、どう対応すべきかを知っておく必要があります。サイバー脅威の概要や発生メカニズム、事業に対する影響を把握し、日頃から考えをめぐらせることが重要です。IT部門やCSIRTと同等レベルのサイバーに関する知識は必要ありませんが、経営や法律用語と同じように、基本的な事柄は理解しておくことをお勧めします。
経営層による迅速かつ適切な判断は、基礎知識の上に成り立つ
迅速な判断を妨げる原因は何か
インシデントの発生から状況把握、収束までの時間は、できるだけ短いことが求められます。ところが日本では、インシデント対処に要する時間が長くなりがちです。これは私の経験から言うと、経営層がサイバー攻撃で発生した事象を理解できず、判断を下すまでに長い時間を要するためです。これでは現場が収束のために稼働できる時間はゼロに近い、というよりもむしろマイナスです。
オーストラリアでは2月22日に、改正個人情報保護法が施行され、個人情報漏えい事故の強制報告制度が定められました。この保護法ではサイバー攻撃を受けた場合、「調査・完了は30日以内に行うこと」と明言されています。また5月にから欧州で施行されるGDPR(EU一般データ保護規則)では、72時間以内に監督機関に報告を行うことが義務付けられています。
インシデント発生から数十時間以内に状況を把握し、報告できる体制が世界規模で求められています。経営層は、サイバー脅威の動向や事案に関する情報を収集・把握しておかないと、短時間での対策や報告を行うことは不可能です。軽微なインシデントが発生しただけでも、経営層の判断ができずに事業継続が困難になってしまう可能性がありえます。昨今のサイバー攻撃をめぐる世界の動きは、そのような迅速な判断を求めています。
サイバー攻撃への迅速な対応は世界的な潮流であり、経営層の意識改革が必須
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
