2.どんと来いサイバー攻撃!?事業継続のための"態勢"の伴った体制づくり
「事業継続性」をテーマに、組織として、サイバー攻撃に対しパニックにならず、被害を最小限に抑え、早期復旧するために必要な「脅威に備えた態勢づくり」と「素早く対処するための体制づくり」についてお伝えしたいと思います。
サイバーセキュリティトレンド
- 2017年06月14日公開
はじめに
突然ですが、「もし自分が、自分の属する組織が“サイバー攻撃を受けてしまったら”」その状態、その後の対応の想像がつくでしょうか。「そもそもサイバー攻撃って何があるの?何をされるの?」「被害を受けたことが無いからわからない。」と、おそらく多くの方は被害のイメージが湧かないと思います。
またまた突然ですが、皆さんは映画「シン・ゴジラ」をご覧になったでしょうか。未知の脅威であるゴジラの登場。パニックに陥る日本。もし今の日本が、自然災害や戦争とは違う(厳密にはそれらもモチーフとしているが)未知の脅威が現れた場合どう対処するのか?という「インシデントレスポンス」を主軸に人間ドラマが描かれていました。
私は、イメージが湧かないサイバー攻撃による脅威・被害は、規模は違えど「ゴジラ」と同等だと考えます。そして我々企業は、たとえゴジラ(サイバー攻撃)に襲われても、事業を継続させ、お客様や関係者に損害を与えないため、一致団結して立ち向かわなければなりません。
今回のコラムは「事業継続性」をテーマに、組織として、サイバー攻撃に対しパニックにならず、被害を最小限に抑え、早期復旧するために必要な「脅威に備えた態勢づくり」と「素早く対処するための体制づくり」についてお伝えしたいと思います。
脅威に備えた態勢づくり
前回のコラムでお伝えしたIoT機器を利用したマルウェア「Mirai」や、2017年5月12日を皮切りに爆発的に被害が拡大したランサムウェア(マルウェアの一種)「WannaCryptor」など、世界規模のサイバー攻撃が世間を賑わせています。いざこれらの攻撃を受けた際、パニックに陥らず、冷静に対処ができると自信をもっていえる企業・従業員は多くないのではないでしょうか。(ランサムウェア対策についてはこちらのコラムをチェック)
災害や戦争とは違い“被害のイメージが湧かない=恐怖心が薄い“から「何をすればいいかわからないから後でやろう。」「いざとなれば専門家がやってくれる。」「最新のセキュリティ対策製品を導入しているから自社は大丈夫。」「私には関係ない。」という意識に陥ってはいませんか?そんな状態ではサイバー攻撃者の恰好の餌食でしょう。意識の脆弱性をつかれ、見事に攻撃をくらい、パニックになってしまえば組織ブランドのイメージはガタ落ち、攻撃者の思う壺です。サイバー攻撃の激化が予想される2020年の東京オリンピックに向け、突然の事態に対処するための”心構えと準備=態勢“づくりを、組織全体として行うことが今後非常に重要となります。
「彼を知り己を知れば百戦殆うからず。彼を知らずして己を知れば、一勝一負す。彼を知らず己を知らざれば、戦う毎に必ず殆し。」
これは「孫子の兵法」の中でとても有名な言葉で、まさにサイバーセキュリティにもあてはまります。「どのような攻撃で、どのような被害を受けるのか」脅威を認知することで具体的な対策の計画をたて、攻撃を想定した訓練の実施によって緊張感を持続することができます。また、「自組織はどのような構成か」をクリアにすることで、組織全体の連携による、素早く対処するための体制づくが可能となります。敵を知り、自らを知ることで、事業継続のために求められる被害の最小化と早期復旧を目指していきましょう。
(2) 全ては「経営層の態勢づくり」からはじまる
NISC(内閣サイバーセキュリティセンター)による2016年度の企業調査によると「多くの企業が、サイバーセキュリティを経営戦略として位置づけ、問題が生じる前から経営陣が関与して取り組んでいる」と報告されています。しかしその反面、「多くの企業は、リスク管理や社会的責任の観点からセキュリティに取り組んでいる。一方、自社の未来への投資と考え、ブランド価値として取り組んでいる企業は3割以下にとどまっている。」とも報告されています。(引用:https://www.nisc.go.jp/conference/cs/jinzai/dai04/pdf/04shiryou04.pdf)
サイバー攻撃が激化している昨今、「どんとこいサイバー攻撃!!」と、攻撃に屈せず事業を継続しつづけることは、ブランドイメージとして顧客からの信頼獲得において非常に重要な経営戦略といえるでしょう。
経営層の方は改めて、サイバーセキュリティの影響度を正しく認知し、リソースの適切な投資を行い、組織全体としてサイバー攻撃に備えた”態勢”づくりを行ってください。そして、即席の形だけではない、自組織に合った事態に対処する”体制”づくりを目指しましょう。
IPAは、経営者に求められる要素を「サイバーセキュリティ経営ガイドライン」およびその「解説書」にて発表しています。(参考:https://www.ipa.go.jp/security/economics/csmgl-kaisetsusho.html)
(3) 態勢(心構えと準備)づくりによって組織的パニックを防ぐ
態勢ができていなければ、わけのわからない攻撃を受けて何をしていいかもわからず、慌てて間違った対処をすることで余計な被害の拡大を招いてしまう「組織的パニック」が発生してしまいます。本当は大した被害の無いサイバー攻撃でも、組織的パニックによる“過剰反応”によって「一部事業の停止」状態に陥る可能性は非常に高いといえます。また、攻撃に気づく態勢が無ければ、「これは攻撃を受けていない。」と個々人で判断してしまい、思いもよらぬ事態を招いてしまう可能性もあります。
避難訓練のように、日々の周知や訓練を通じ、常に個々人の「サイバー攻撃に対するアンテナ」をはり、有事にスムーズに動くことができる態勢づくりを目指しましょう。
素早く対処するための体制づくり
ここまでサイバーセキュリティに関する態勢づくりの重要性をお伝えしました。そのうえで次は、脅威に直面した際に素早く対処するための“体制づくり”が重要となってきます。ではどんなことに取り組むべきか、具体的な5つの項目をご紹介します。
(1) 経営層による積極的なサイバーセキュリティへの関与
経営層へサイバーセキュリティの重要性をアプローチできるCISOなどを設置し、有事の際にトップダウンによる指示を下すことができる体制をつくる。
経営者がサイバーセキュリティを重要な経営戦略と捉え、上層部から各部門長へセキュリティに関する明確な指示を出すことで、組織全体へのセキュリティ対策の素早い浸透が可能となります。
(2) 橋渡し人材の育成および権限の付与
サイバーセキュリティに関する業務課題を十分に理解したうえで、経営層への課題と対応を進言することができ、かつ各部門の実務者層を指揮することができる「橋渡し人材」を設置する。
各部門で行動可能な橋渡し人材の育成によって、セキュリティ課題の素早い発見および対策の計画、有事の際の円滑な対応が可能となります。(参照:https://www.nisc.go.jp/active/kihon/pdf/jinzai2017.pdf)
サイバーセキュリティに関し、組織内で誰に頼ったらよいかわからない、というパニックにならないためにも、専門的知識と権限を有する者を設置することが望ましいでしょう。
(3) 連絡体制の整備
各組織内・間で、横と縦に対応した連絡網・連絡手段を確定し、日々の疎通確認を実施する。
緊急時に連絡がつかなければインシデント対応が遅れ、被害の拡大につながってしまいます。人事異動などによる影響で疎通不全に陥らないよう、連絡体制整備のための手順を明確化することが望ましいでしょう。
(4) 情報共有の場の設置
サイバーセキュリティに関する情報共有の場を設置し、最新のサイバーセキュリティ情報および社内情報の共有、インシデント対応に向けた事前の顔合わせやレビューを行う。
情報共有の場の設置によって“組織全体の態勢づくり”を目指しましょう。また、セキュリティ担当者が外部の情報共有の場に率先して参加し、社内に情報展開することができる体制づくりが望ましいでしょう。
(5) インシデント対応計画書の作成・訓練・分析・更新
サイバーセキュリティに関する最新動向や課題を基にインシデント対応計画書を作成し、インシデント判定基準の明確化や具体的な対処計画などを行う。また、作成した計画を基に定期的なインシデントの初動対処の訓練および課題の分析、更新を行う。
組織的にインシデント判定基準や対処計画が明確でないと、現場の判断に委ねられたり、判断に時間がかかったり、早急な対応ができなくなってしまいます。
計画を基にした訓練の実施によって、従業員間の関係性強化、(疑似的な)対処の経験を積むことで、全般的なインシデント対応にかかる時間の短縮が可能となります。訓練を通じ、インシデント対応計画の具体的な改善点を分析し、都度最適化していくことが望ましいでしょう。
さいごに
サイバーセキュリティに重要なことは「ヒト・モノ・カネ」のリソースです。セキュリティ対策製品のモノを導入しても、ヒトのセキュリティ意識が低ければサイバー攻撃を受ける可能性は減少せず、パニックにより被害の対処が遅れ、事業継続どころか事業の存続すら危うくなります。経営層およびセキュリティ担当者は、日常的にサイバー攻撃の現状や自組織を把握し、適切に投資し、自組織に合ったサイバーセキュリティ対策の計画・実施・改善に取り組んでください。
サイバー攻撃による顧客情報漏えいなどで加害者側になってしまう場合、“何も意識していなかった”では、善管注意義務に違反するとして法的責任を問われるケースもありえます。“本当は防げたのに”とならないよう、「態勢の伴った体制づくり」を目指しましょう。
NTTソフトウェア株式会社
クラウド&セキュリティ事業部
第一事業ユニット