「世界同時多発サイバー攻撃がもたらした経営インパクト~明日から実践すべき事業継続の再点検~」セミナーを開催
2017-10-30
2017年6月29日、PwCあらた有限責任監査法人、PwCコンサルティング合同会社、PwCサイバーサービス合同会社は「世界同時多発サイバー攻撃がもたらした経営インパクト~明日から実践すべき事業継続の再点検~」と題したセミナーを共催しました。昨今、身代金を要求するランサムウェアWannaCry(ワナクライ)をはじめ、サイバー攻撃は企業経営を揺るがすほど凶悪化しています。本セミナーでは、技術面、経営リスクなど多方面からサイバー攻撃を分析し、事故は防げない前提で迅速に対応する“レジリエントセキュリティ”の実現を提唱しました。
また、日本やグローバルでのサイバー攻撃対応事例をもとに、日本企業が取るべき事業リスクの再点検や、クラウドシフトなどの企業戦略などが紹介されました。
サイバー攻撃に経営層はどのように立ち向かうべきか
PwCコンサルティング合同会社 サイバーセキュリティ&プライバシー パートナー 山本 直樹
まずPwCコンサルティング合同会社 サイバーセキュリティ&プライバシー担当 パートナー 山本 直樹が、数日前にWindowsの脆弱(ぜいじゃく)性を狙ったランサムウェアが新しく出てきて猛威を振るってきた状況を解説しました。多くのセキュリティ専門家によるWannaCry同様のコンピュータウイルスが極めて近い将来に登場するだろうとの予測が、的中してしまったのです。今後も同じようなコンピュータウイルスによるサイバー攻撃は起きると山本は予測します。
サイバー攻撃による被害の要因の一つに、企業が導入しているコンピュータやシステムの脆弱(ぜいじゃく)性があります。古いOSやアップデートされていないプログラムが残っていると、そこがセキュリティ上の穴となって攻撃を受けてしまいます。
ではセキュリティ上の穴をどうしてふさいだら良いのか?さまざまな管理や対策については十数年前からシステム監査などで指摘されていますが、いまだに穴が残っていることでコンピュータウイルスやサイバー攻撃の被害を受け、ビジネスが停止する影響が出ているのが現状です。
サイバーインシデントに備えるためにどうすればいいのか、経営者や会社の意識や姿勢が社会から問われています。攻撃に対する対応ひとつひとつは地味な話かもしれませんが、そのまま何もしないと企業のみならず、最終的には顧客やステークホルダーにも影響を与えてしまうことをご理解いただききたいのです。
今回のセミナーではサイバー攻撃被害が経営に及ぼすインパクトに関してご紹介しています。企業の経営者として何をやらなければいけないのか、PwC Japanグループの三法人の知見に基づき解説しています。
【Session 1】「企業経営に求められるサイバー攻撃対処に必要な態勢と能力獲得について」
PwCサイバーサービス合同会社 最高技術顧問 名和 利男が、ランサムウェアによって実際の被害にあった現場を見てきた事案から得られた教訓をはじめ、インシデントが発生したときにどう対処するか、どのようにサイバーセキュリティに対して取り組むべきかを紹介しました。
コンピュータにインシデントが発生した際に適切に対応できるか、脅威はどのようなものなのか、そこにある情報を正しく見ることが重要だと説明しました。また有事の際に、経営層が各部門長に対して明確な意思を持った指示を出せるような仕組みが必要だと語られました。
【Session 2】「迫りくる嵐に備える」〜サイバー事故対応組織CSIRTを、フルに生かすための知的武装〜
PwCサイバーサービス合同会社 シニアマネージャー 薩摩 貴人は、コンピュータウイルスに感染した際のインシデント対応の難しさや、クライアントから求められるインシデントレスポンス支援はどういうものなのか紹介しました。
いざサイバー攻撃を受けたときに対処するためには何が必要なのか、現場で求められる行動の観点から、具体的な対応例が報告されました。サイバー攻撃は止めることが最優先ですが、一般的なシステム障害の対応とは異なります。必要な対応を理解した上で、被害を未然に防ぐために必要な情報武装をどう進めるかについても丁寧に語られました。
【Session 3】グローバルから学ぶランサムウェア対策としてのクラウドファースト
PwCコンサルティング合同会社 ディレクター 林 和洋は、WannaCryに代表されるようなランサムウェアの事案が発生すると企業にどんな影響を与えるのか、求められる対策や体制面などについて紹介しました。
ランサムウェアの感染によって企業の可用性が危ぶまれることを経営者層も正しく認識すべきであり、サイバー攻撃に対抗するためのアプローチには何が有効なのかが語られました。
【Session 4】攻撃可能性から見る「サイバーリスク評価」の実践
PwCあらた有限責任監査法人 パートナー 綾部 泰二は、サイバーリスクに対して企業経営の観点から、どういう形で向き合っていくべきか、それに対してどう評価するかを紹介しました。
サイバー攻撃は絶対的に防御できるものではないことを念頭に、サイバーセキュリティポートフォリオを使うことでサイバーリスクを評価する手法が紹介されました。あわせて強い所や弱い所を可視化して、どこまでがサイバーリスクとして捉えないといけない範囲かを考えないといけないと、経営層へのメッセージを送りました。
サイバー攻撃に経営層はどのように立ち向かうべきか
本セミナーの大きなテーマは、「サイバー攻撃と経営インパクト」。全てのセッションで、どのように事業継続に取り組んでいくかが紹介されました。サイバー攻撃に対処するための取り組みは、経営者や会社の姿勢が問われています。ますます猛威を振るうサイバー攻撃に対してどのような姿勢で、何をやらなければ行けないのか。今回のセミナーでは世界同時多発サイバー攻撃をIT部門だけの課題と捉えるのではなく、「明日から実践すべき事業継続の再点検」の施策が提言されています。
今回のセミナーをきっかけに、サイバー攻撃に立ち向かうために、企業の経営者が採るべき事業リスクの再点検やクラウドシフトなど、企業戦略の見直しなどを進めるきっかけになったことでしょう。
