こうした4つの傾向を踏まえ、日本企業がサイバー攻撃から自らを守るためにはどのような対策や体制が必要なのでしょうか。
佐々木氏残念ながら、セキュリティ対策には「これ1つでOK」というものはありません。よく聞く言葉に「木桶理論」というものがあります。違った長さの木材で作った木桶に水を張ると、一番低い板のところから漏れてしまう。つまり、いくら強固な取り組みをしていても、1つでも弱い箇所があるとそこから破られてしまうことを意味します。これと同様、セキュリティ対策でも特定、防御、検知、対応、復旧といったように複数の対策を組み合わせる必要があります(図1)。
図1 情報セキュリティの対策フェーズ
NIST(米国立標準技術研究所)のサイバーセキュリティフレームワークは、組織がセキュリティリスク管理を改善するための基準、ガイドライン、ベスト・プラクティスで構成される。そのコアとなるのが「特定」「防御」「検知」「対応」「復旧」の5機能だ
より大きくは、物理的セキュリティに加え、「技術」「組織」「人」といった観点での論理的なセキュリティ対策が必要でしょう。特に近年、重要になっているのが「経営者としての積極関与」「人的組織の充実」「どこまで対策をやるべきかの組織的合意」の3つです。
まず、経営者としての積極関与ですが、トップの経営者・役員自らがしっかりセキュリティに関わらなければなりません。一昔前は係長クラスを責任者とした“係長セキュリティ”でしたが、それではセキュリティ対策が組織になかなか浸透しづらい。そこで私が座長を務めた経済産業省とIPA(独立行政法人 情報処理推進機構)の「サイバーセキュリティ経営ガイドライン」では、セキュリティマネジメントを経営に取り込み、“社長セキュリティ”すなわち、経営者や取締役がリーダーシップをとったセキュリティ対策の推進を行うべき、という提言をまとめました。
人的組織の充実という面では、システム的な対策に加えてCISO(Chief Information Security Officer/最高ITセキュリティ責任者)の任命やCSIRT(Computer Security Incident Response Team/コンピューターセキュリティインシデント対応チーム)の設置といった取り組みが重要になります。
さらに、セキュリティ対策をどこまで組織としてやるべきかの合意という面では、リスクアセスメントやリスクコミュニケーションといったリスクベースのアプローチが重要になってきます。ここで言うリスクアセスメントとは、企業や組織が持つPCやIoT、ネットワーク機器といった情報資産を漏れなく管理し、そこにどのようなリスクがあるかを特定、分析、評価するプロセスを指します。これは情報セキュリティリスクの対応策を決めるために欠かせない基本中の基本です。一方のリスクコミュニケーションは、リスクに関する情報を関係者と共有し、理解を深めるための手法です。リスクコミュニケーションを適切に行うことで、組織全体でのリスク認識の共有や効果的な対策の実施が可能となるため、こちらも積極的に行うことが重要です。
これらの対策は大企業だけではなく中堅・中小企業でも同じように必要です。規模が小さいからといって攻撃者は許してくれません。とはいえ「一人情シス」「兼任情シス」で手が回らない、社内にセキュリティ担当のリソースがないというケースが多いのが実態です。そこは経営者自身がコストと優先順位を勘案して、適切な手段を検討していく努力が求められます。親会社がある場合は、サプライチェーンの核になる子会社を適切に指導したり、契約段階でセキュリティ対策を盛り込むような形にしたりすることが好ましいのですが、どうしても手が及ばないケースや企業グループではない中小企業も多々あります。そういう場合はIPAが「サイバーセキュリティお助け隊サービス」というIT補助金を使った支援策を提供していますので、まずは自社のリスク状況をしっかり把握することから始めてみることが大切だと思います。