コラム

被害額は平均数千万円。
セキュリティ対策の軽視が経営リスクに直結すると認識していますか?

Elastic

「セキュリティ対策は、情報システム部門に任せているから大丈夫」、「セキュリティ対策はきりがないからあまりコストをかけたくない」。
企業の経営層がもしこのような認識でいたら、それは大変危険です!
マルウェアの感染や不正アクセス、あるいは機密情報の流出などのセキュリティインシデントは、経営リスクに直結するもので、軽視すれば経営の根幹を揺るがしかねません。
企業規模や業種を問わずどの企業にも起こり得ることで、企業経営者はリスクマネジメントの一貫として、正面から取り組むべき課題です。
本コラムでは、セキュリティ対策を軽視するとどのような事態を招くか、具体的な被害事例を紹介します。
そして、自社にも起こり得るインシデントに組織としてどう取り組むべきかをひもとき、経営層が主体的にかかわることができる、経営に結びついたセキュリティ対策の構築方法を解説します。

Elastic セキュリティの詳細はこちら

1. セキュリティ対策が重要な理由
「ウチは大丈夫」は通用しない! あらゆる企業規模が対象、平均被害金額は数千万円の現実

セキュリティ対策がなぜ重要なのでしょうか? NTTテクノクロスは、日本ネットワークセキュリティ協会(JNSA)に加盟しています。
JNSAの 調査研究部会インシデント被害調査ワーキンググループが2023年に実施した「インシデント損害額調査レポート 第2版(リンク:https://www.jnsa.org/result/incidentdamage/202402.html )」によれば、被害が発生しているのは都市部に限りません。
日本全国どこでも発生し、あらゆる規模の企業が被害にあっています。
「大企業だから大丈夫」、「中小企業だから大丈夫」という理屈は、まったく通用しないのです。

ランサムウエアやエモテット感染、ウエブサイトを通じた情報漏えいなどによる平均被害金額は数千万以上に上っており、システムの停止やデータの損失などによる計上されていない利益損失も含めると、実際はもっと大きな被害額、場合によっては億単位になるなど、経営に多大な影響を及ぼしています。
あらゆる企業に、日常的にこうした感染リスクがあります。根拠なく「ウチは大丈夫」などと軽視してはいけません。まず、自社にも「起こり得る」ことと認識してください。

2. セキュリティ監視が必要な理由
インシデント発生! 「いつ」から「どこまで」の被害か特定できますか?

ひとたびインシデントが起きてしまうと、誰もが目の前の事象に対処することで精一杯になってしまいます。その混乱のなかで適切に対処するには、まずその事象が「いつ」から始まって、「どこまで」被害が及んでいるのかを明らかにする必要があります。
ところが、「セキュリティ監視」を怠っている組織は、「いつ」から「どこまで」被害があったかを特定できません。被害を正確に把握できなければ、適切な処置を施せない事態に陥ります。

セキュリティ監視では、セキュリティ製品やサービスを入れたら終わりではなく、日々さまざまな対策を実施し、アップデートしながら、ログやアラートを監視して運用を行います。
仮に不正アクセスなどが発生した場合は、即座に発見して対処を行えるようにします。
ある組織のインシデント調査報告書によれば、「セキュリティ監視」を怠っていたためにインシデント発生に気付かず、7年間も放置して被害を拡大させた事例があります。

多くの企業に心当たりがあるはず!? 被害を発生・拡大させる主な要因とは

情報システムの企画・運営の軽視
組織は、安全な情報システムを安定して運用するための予算確保はもちろんのこと、運営を行う組織体制や人員の整備も含めてセキュリティ対策を行う必要があります。その必要性を軽視したことが、不正アクセスの被害を発生、拡大させました。
情報システム担当者の不足
情報システム担当者は1名で、しかも総務部門との兼任。実質的に 0.5 人体制だったため、情報システムの運営は運用委託先である IT ベンダーに丸投げでした。しかも、運用委託先の管理・監督も、十分に機能していませんでした。
システム運用やセキュリティ運用を継続的に行う仕組みの欠如
この組織では過去にもセキュリティインシデントが発生しており、その際「システム的対策」や「組織的対策」の必要性が指摘されていました。「システム的対策」はある程度実施されていましたが、「組織的対策」は実施できていませんでした。
情報システム部門以外のシステムの脆弱性
基幹システムは情報システム部門が調達、管理していましたが、それ以外の部門が個別に構築した業務システムなど、運用状況が明らかではないものが多数ありました。また、すでに撤去済みのセキュリティ機器に依存するものなど、適切な管理がなされていないシステムも複数ありました。システムの全体像を把握できる部署がなく、脆弱性が多数存在する状況で、原因調査や対応に時間を要する一因となりました。



これらの要因に「耳が痛い」、「心当たりがある」という企業は、決して少なくないはずです。
この事例では、たまたま旧システムにアクセスログが残っていたことで、今回のインシデントに関連する過去の事象を特定できました。
アクセスログが残っていなければ、被害の経緯や全貌は分からずじまいで、対策も講じられなかったでしょう。ログを残すことが、いかに重要かが分かります。被害の事例を他人事とせずに、適切なセキュリティ対策を講じるには、まず何をすればよいのでしょうか?

3. 経営に結びついたセキュリティ対策の構築方法
ログを取得・保存していれば大丈夫?

「ログなら情報システム部門が取得・保存しているから大丈夫!」。そう思われた方、実は大丈夫ではありません。
情報システム部門では、主に保守管理のためにログを取得しています。取得・保存されているログがインシデント対応に適するものか、十分な期間保存しているか、分析できる形になっているかを考える必要があります。

バラバラなログから継続可能な可視化へ



セキュリティの観点から分析に必要なログが、経営判断に活かせる形で可視化されていなければ、経営層からは「よく分からない情報」と見なされて、活用されることはありません。
個別のエラー数やアラート数を説明されても、経営層はそこから何を判断すればいいか分からないものです。
セキュリティはビジネスリスクです。経営層がセキュリティを「直面するリスク」として理解し、経営判断ができるようにする必要があります。

サイバー攻撃の手口が巧妙となり、被害も大きくなっている昨今、今自社にはどの程度のリスクがあるのか、それに対抗する手段はあるのか、あるとすればその手段とは何か、対策はどの程度有効なのか、新たな判断が必要なのか…など、経営層に必要な情報を提供できているかが重要です。


各部門と経営層をつなぐCISOの存在

経営層がセキュリティ課題を自分事としてとらえるために重要な役割を担うのが、CISO(Chief Information Security Officer:最高情報セキュリティ責任者)です。
CISOには、経営視点で業務を遂行することが求められ、セキュリティ課題に全社一丸となって取り組むための、重要な「ハブ」の役割を担います。

従来は、CIO(Chief Information Officer)がセキュリティ分野の責任を負うことがありましたが、セキュリティリスクが高まり、セキュリティ対策は経営課題であるとの認識も広まった昨今では、CIOとは別にCISOを設置する企業が増えています。


CISOに期待される役割

① 自社のセキュリティ状態を把握するための体制・仕組みづくり
② 自社のセキュリティ施策についての、経営陣に対する、適切な提案や報告
③ 計画したセキュリティ施策についての、経営陣に対する、現状と進捗状況の報告
④ リスク項目の定期的な見直しと、その結果に応じた計画の修正
⑤ セキュリティ施策推進のため、社内のあらゆる部門(※注1)との連携
⑥ 他社の取り組みや技術動向、脅威動向を踏まえ、より合理的な対策を実装

※注1:連携すべき「社内のあらゆる部門」は、財務会計、業務、IT、リスク管理、総務・人事、法務、監査、広報部門等を指す

経営層に響く「指標の変換」と、CISOが取り組むべき3つのステップ

経営層が経営課題として正面からセキュリティ対策に取り組むため、またその際に適切な判断を行うためには、全社のハブとなるCISOが継続的に「セキュリティ監視」を行い、監視システムで取得した情報を「経営目線でのレポート」に変換して報告することが必要です。
セキュリティ対策を経営指標に変換するための3ステップは、以下の通りです。

①ログを継続的に収集する
まずは、データがないと始まりません。保守運用の観点からだけではなく、セキュリティの観点でさまざまなログを継続的に収集します。
さまざまな分析を行うためには、エラーの場合だけではなく、正常な場合のログなども継続して必要です。継続的に収集して様々な側面で可視化や分析が行えるようになります。
ツールとしては、高速検索・分析を得意とするElasticsearchなどが適しています。

②ログを可視化する
ログがある程度たまったら、可視化します。継続的にデータを収集していることで、異常が起きた場合だけではなく、通常の状態を可視化することができるようになります。
すると、「いつもと違う」など予兆的な現象を発見できるようになります。ツールとしては同様に、データをグラフやダッシュボードで簡単に可視化、分析できるElasticsearchなどで対応が可能です。

③CISOハンドブックやCISOダッシュボード(※注2)などを参考に、経営指標に変換してセキュリティレポートを作成する

収集・保存したログは、単純に可視化するだけではなく、経営層が理解できる数値に変換し、ビジネスへの影響やセキュリティ投資効果など経営判断に役立つ資料を作成します。
例えばこの事象が起きると補償にこれだけ必要になる、などの判断ができる指標に置き換えること。経営層が、現在の自分たちの状況を理解し、打ち手を判断できるデータとして見せることがポイントです。
その際に参考となるのが、CISOハンドブックや、CISOダッシュボードです。「CISOハンドブック v1.1β」は、フリーダウンロード(URL:https://www.jnsa.org/result/2018/act_ciso/ )が可能です。ぜひ参考にしてください。
データをダッシュボード化してみせるツールとしては、Yellowfinなどが適しています。

CISOハンドブックを参考に経営指標に変換
※注2:CISOハンドブックは、「経営陣の一員としてなすべきこと」に焦点をあてたCISO業務実践のためのガイド。CISOダッシュボードは、情報セキュリティに関する状況を適切に経営層に報告できるよう、報告内容や報告イメージをまとめたもの。

        

4. まとめ
丸投げから自身の手中へ。
経営層がセキュリティ対策を自分事にすることが重要

インシデントはいつどの企業にも起き得るものであり、いざインシデントや障害が起これば、その責任をとるのは経営者です。
経営層は、システム部門やネットワーク部門、セキュリティ部門、各業務部門の状況を統合的に理解し、必要なコストをかけてビジネスを守らなければなりません。
守りたいものは企業組織によって異なるでしょう。そして、ログは日々増え続けます。
ログを分析することで何を得たいのかを明らかにし、情報システム部門などに丸投げしてきていたセキュリティ対策を、経営層がビジネスを進めるうえでの重要な要素としてとらえることが大切です。

NTTテクノクロスは、ビジネスに貢献するセキュリティ対策を推進しています。Elasticsearchで各種ログを継続的に収集・蓄積、可視化し、BIツールのYellowfinで統合と経営指標への変換を可能にします。
私たちが、セキュリティインシデント対策をサポートします。どうぞお気軽にお問い合わせください。

Elastic セキュリティの詳細はこちら
お問い合わせ・資料請求
Elasticsearchの導入・活用なら
NTTテクノクロスへお気軽にご相談ください!