経営者視点のサイバーセキュリティー経営者が考えるべきセキュリティとは

IT化が急速に進展し、企業が扱う情報量が飛躍的に大きくなり、情報管理のリスクも大きくなってきています。もしもの時、経営者はどのような手を打たなければならないのか?

このセミナーではそんなお話をしたいと思います。

その時経営者のあなたはどうしますか?

あなたは、ある健康食品通販会社の社長だとします。

会社は、中高年者向けに様々な健康食品をテレビショッピングやインターネット等で販売しており、最近業績も好調です。

 

ある日曜日、仕入れ先の役員とゴルフをしている最中に、1本の電話がスマホにかかってきました。
想定外の時に、悪い知らせが来るのはよくあること
です。電話の相手は会社の総務部長です。電話の内容は...

総務部長は慌てている様子で、

「会社の顧客データがネットにさらされている。」

「システム部長とは連絡がつかないので、先ず社長に連絡をしました。」

佐藤

最初にやるべきことは

・通報元とネットにさらされているといわれている顧客情報が本当に自社のもと特定される根拠があるかどうかを確認します。

・漏えい先のURLを示すメールが公開メールアドレスに送られてきた場合は、それが標的型メール攻撃かもしれません。
「漏えい先を示すURLを送るので、総務部長のメールアドレスを教えて欲しい」といった電話がかかってきた場合も、通報元自体を疑うべきです。

ポイントはこの種のインシデントへの対応手順を定めて、社内で共有しているかどうかです。初動対応は極めて重要ですが、御社において適切な指示を出せる人は誰ですかそういう人がいない場合は、あなた(社長)がゴルフをすぐにやめて陣頭指揮をとらなければなりません。

佐藤2

 

インシデントの初動対応ー最優先でやることは被害の拡大防止!

外部発表をする、被害規模が大きい場合は報道発表すること、これは、正に経営者の決断が必要です!

漏洩原因の特定は、どうするのか?

被疑範囲が日常運用しているシステムに及んだ場合、事業継続性に必要な最低限の情報資産を特定し、この原因究明作業を優先的に行うことが必要になります。
⇒経営者は事業の実務責任者とCSIRTチームとの調整にコミットし、適切なリスクの受容レベルを設定しながら事業継続の確保と根本原因の究明作業のバランスを考えて判断することが求められます。

原因の特定が済んだ後は?

原因特定後

CEOたるものは、インシデントの発生を想定して準備を整えておかねばならない。特に以下の事項について方針を用意していなければならない。

1) 取締役会、顧客、取引先、マスコミへの対応。

2) 他社の経営陣との対応。経営上直面する問題を把握し、他に影響を受けた当事者がいないか確認する。

3) 社内チームとの対応。根本的原因を特定し、運用を維持しつつシステムを回収し、新たな攻撃に対する計画を立てる。APT は会社への攻撃を維持すると考えるべきである。

4) セキュリティ対策の範囲と優先順位の判断についての承認​。但し、「セキュリティ対策の重要性は理解しているが、どこまで対策を講じればよいのか判断できない」「限りあるIT予算を有効活用するために、優先順位を付けて対策を検討したいが、その判断も難しい」という悩みもある。

 

情報セキュリティは、企業における「リスクマネジメント」の最重要課題

「リスク」は社会や事業環境の変化に伴って重要度も変化していきます。

「リスクマネジメント」の中で、最近もっとも重要性が高いと認識されているものの一つが「情報漏えい」です。

背景として

  • IT化が急速に進展し、企業が扱う情報量が飛躍的に大きくなったこと。​
  • 情報セキュリティに関するリスク対策が、他のリスクの対応策と密接に関係してきている。

 

経営者への5つの問いかけ

  1. 経営者は自社の事業に対する情報セキュリティリスクに関する現状及びその影響度がどのように特定されているかを把握しているか?
  2. 自社の情報セキュリティに関する現在の具体的なリスクとそのビジネスに対する影響度は何か?このリスクに対して具体的にどのように対応しているか?
  3. 自社の情報セキュリティプログラムは、業界標準とそのベストプラクティスをどのように活用しているか?
  4. 通常の業務期間中にどの程度、どのようなセキュリティインシデントを検出しているか?経営層への報告は適切なタイミング、頻度でなされているか?
  5. 情報セキュリティインシデントに対しての対応計画は、どの程度包括的か?それはどのような頻度でテストされているのか?

    米国DHSDepartment Homeland Security:国土安全保障省)のホームページに掲載されている

「経営者が考えるべき情報セキュリティ」は、上記の5つの問いに対する答えを得て、それを評価し、高度化することなのです。

 

 

セキュリティ担当が経営者に働きかけることも重要!

セキュリティ担当者

経営者は両方を評価して、投資の優先順位を決めます。

しかし、セキュリティ担当チーム(CSIRT等)のアピールが不足していると、経営者は後者を知る機会を失います。結果、セキュリティ施策への投資判断を誤る可能性が高まります。

講師:佐藤雅英(ITコーディネータ)>>