経営者が意識すべき、情報セキュリティ体制2つの視点

投稿日時: 投稿者:

この約1か月ほど、情報セキュリティ対策に関する知見の整理とアップデートを集中的に行いました。

当社はお客さまに情報セキュリティマネジメントに関する助言等を行う機能も有していますが、情報セキュリティ技術専門の企業のような、攻撃者が繰り出すサイバー攻撃を日々監視しその手口を分析するという機能までは有していません。各方面から日々公表される情報の収集と知見の更新は欠かせません。

今回の当社内での検討でも、企業においては最新動向を踏まえて遅くとも1年周期での社内体制や管理手法の見直しは欠かせない、ということを改めて実感しています。

ここ最近も、大々的に取り上げられるようなサイバー攻撃事案が再び発生しました。メディアに取り上げられるような例を見て、何百万件もの個人情報が流出するというのは大企業ならではであって中規模以下の企業が狙われる可能性は少ない、と考えるのは間違いです。取り扱っている事業内容、取引先や顧客のプロファイル等によっては、小企業であっても十分狙われます。

例えば、社内に個人情報を持たない小企業であったとしても、その企業の取引先が攻撃者のターゲットとなる大企業であるなら、攻撃者はその小企業を「踏み台」として乗っ取ることを考えます。攻撃者にとってはむしろそのほうが発覚しにくく狙いやすいうえ、本命のターゲットに対してより高い権限を容易に獲得できる可能性が高いのです。

今回のコラムで経営者の方にお伝えしておきたいことは、次の2点です。

ひとつは、事業を支えるシステム基盤を構築する時点で情報セキュリティ管理も併せてデザインし、システム基盤にセキュリティ設計も同時に組み込むことが重要であるという点です。

セキュリティ対策というと、ファイアウォールを設置する、アクセス制御を施す、ウイルス対策を行う、などが思い浮かぶと思います。それも重要ですが、単に製品やサービスを導入するだけでは「設計」とは言えません。攻撃された場合、攻撃が成功してしまった場合、どのようにその事態を検知し、どのように反応するのか。そうした対応のしくみをデザインしたうえで、それに必要な技術要素を基盤に組み込んでおく、ということです。

情報セキュリティ対策はどうしても後付けになる傾向があると思います。また社内の体制においても、現場レベルでは開発技術者とセキュリティ担当者は別になっていて、あまり連動していないケースが多いものです。そうした状況を踏まえて、組織内でうまく連動して、適切なセキュリティ対策が考慮された基盤設計および管理ができるような体制づくりが求められていると思います。

その中で特筆すべきは、ログの取得と管理です。ログは、どこか一か所で取得するだけでは満足な情報になりません。自社の管理領域内の複数の箇所で、取りたい情報を意図的に取得しておかないと、有事に情報不足が露呈するのです。それはどこにすべきか、分散しているログをどのように集約するか、有事の際にどう分析をかけるか。そうした検討が要求されます。

綿密な設計のもとに取得されたログでなければ、攻撃されたとしても、何が起こっているのか、被害があったのかなかったのか、何もわからないことになるでしょう。先の大規模漏えい事件でも、企業の関係者から「ログがないのでわからない」という主旨の発言がなされていました。

もうひとつお伝えしておきたいことは、攻撃を完全に防ぎきることはできないのが現実であるなか、社内体制の構築に対してその企業が「どこまで考え抜いたか」が問われる、ということです。

様々なところで言われていることですが、現在においては、企業がサイバー攻撃を100%防御することはほぼ不可能です。もし攻撃者にターゲットとされた場合、執拗に攻撃されるなかで、ある時点で侵入を許してしまうことは不可避と考えるべきです。

防御対策を可能な限り講じるのは、もちろん必須です。事実、当たり前ともいえる対策だけでもかなりの攻撃を防ぐことができます。現在ではもはやそれだけでは不十分で、攻撃され侵入を許した場合のインシデントレスポンス体制を組織として築いておくことも必須であると考えていただきたいと思います。

攻撃を受けた場合、例えば、疑いのあるPCをネットワークから外す、そのPCにウイルスチェックをかける、そのPCの電源をOFFにする、などの対応を思いつく向きもあるでしょう。しかし実は、行動によってはかえって問題を複雑化させ、攻撃者にさらなる攻撃の余地を与えてしまう「間違った行為」であることがあります。とっさの行動が間違った行為にならないよう、攻撃のパターンを予め学び、その対応策を予め検討し、有事でも円滑で適切な行動がとれるようにしておくことが重要です。

有事に対応を誤れば、その間違いの大きさが事業リスクの発現に直結します。逆に、組織が学びを深めておけば、攻撃に対する目がより利くようになり、攻撃の検知能力だけでなく、未然に攻撃を防げる確率は間違いなく向上します。

どの企業も、こうしたリスクと無関係にはなれない時代です。関連情報を継続して知り、いま起こっている事態を把握し、その特性を学んで、それをもとに自社をアップデートしていく。こうした活動をルーチン化して、継続していただきたいと思います。