サイバーインシデントが起こったら、あなたはきちんと対応できますか?:Cybersecurity Dive
組織が真剣に自己防衛に取り組むのであれば、インシデントに対処するための強固なシステムが必要だ。本稿ではインシデントに備えて組織が取り組むべき事項を紹介する。
この記事は会員限定です。会員登録すると全てご覧いただけます。
米証券取引委員会(以下、SEC)は、企業がサイバーインシデントをより迅速に投資家や規制当局に開示することを求める新たなルールを策定する予定だ(注2)。これは素晴らしいニュースだ。これまで情報開示が不十分だった上場企業の透明性と説明責任が高まるからだ。
しかし、インシデントの発生を認めるだけではセキュリティを高められない。組織が真剣に自己防衛に取り組むのであれば、インシデントに対処するための強固なシステムが必要だ。今後もインシデントが発生し続けることは疑いようがない(注3)。
インシデントに備えるためには柔軟な災害計画が必要
仮にセキュリティ侵害が起こった場合、経営陣は即座に対策を取り、被害の軽減やさらなる損害の防止に努めなければならない。つまり、事前に災害計画を策定することが重要だ。
災害計画は特定のシナリオに従うだけの静的なものではない。そのような計画は特定の事例に限定されたもので、本当の危機が発生した際は誰も使わない。組織に必要なのは“柔軟な計画”だ。厳密で使い勝手の悪いものではなく、広い範囲に適用されるものだ。
その原則の一つが、さまざまなシステム間の相互依存関係と第三者のベンダーに対する依存関係を理解することだ。それらを基に、経営陣は自社のデータやシステムが外部でホストされているかどうか、どの程度のサービスを受けられる契約なのか、稼働時間に制限があるのか、必要に応じてより良質で強靭(きょうじん)なベンダーに移行できるかどうかを知る必要がある。
経営陣は危機迫った際に、どのように対応するかを正確に把握しておく必要がある。「情報漏えいにつながるアクセスを遮断する『キルスイッチ』の権限は誰が持つのか」「侵害の疑いがある場合、どの従業員に連絡するのか」「誰に情報共有すべきか」「攻撃の内容を外部に公表する義務はあるか」などに加え、これらの行動を「どのようなタイミングで」「どのような被害があった際に実行するのか」も決めておかなければならない。
最悪のシナリオを想定せよ
経営陣は最悪のシナリオを想定し、自分たちがそのような状況でどうすればよいのかを考える必要がある。
仮に1時間で1万台のノートPCがマルウェア攻撃で壊滅的な被害を受けた場合、経営陣はデバイスを迅速に回復、復元する方法を知っているだろうか? それとも攻撃後の1週間でビジネスが崩壊してしまうのだろうか?
「備え」とは、インシデントの前に適切な技術とサイバーセキュリティのアドバイザーが稼働している状態を意味する。企業は主要なプロセスやサービスを支える重要なシステムを特定し、侵入検知システムやファイアウォール、脅威を検出するためのリアルタイムの監視、脆弱(ぜいじゃく)性を検出するためのスキャンなどを設置する必要がある。
第三者による監視システムは、潜在的な脆弱性を特定するのに役立つはずだ。組織がサイバーセキュリティアドバイザーと契約している場合、経営陣はそれが誰なのかを把握し、すぐに連絡できるようにしておく必要がある。
企業はシステムや従業員に対するテストなどを通じて第三者による監査を定期的に実施し、潜在的な脅威の認識を確かめることが重要だ。加えて、インシデント発生時の対応方法について従業員にトレーニングを提供する必要がある。トレーニングには内部から発生する脅威に対するものやフィッシングシミュレーションなどがある。
また、経営陣はサイバー攻撃がビジネスにどのような影響を与えるかを判断する必要がある。これを迅速かつ正確に行うには、事前にビジネスインパクト分析(以下、BIA)を実施することが望ましい。BIAは形式的なその場しのぎのものではなく、組織にとって重要な優先事項になるべきだ。経営陣はBIAの計画に携わる全ての人にそのことを明確に伝えなければならない。
経営陣はインシデント時に何を伝えるか
CEOをはじめとする経営陣はインシデント発生時に「社内外のコミュニケーションを管理するための戦略」を持つことが重要だ。質問されることは必至であり、それに答える準備が大切になる。
経営陣はユーザーや従業員、株主、顧客、一般大衆とのやりとりの中で、使用する文言やトーンに細心の注意を払う必要がある。1つでも間違えると関係者をろうばいさせ、組織が回復できないほどの騒動につながる可能性がある。
最後に、経営陣はインシデントの教訓をサイバーセキュリティの戦略全体に反映させるプロセスを持つべきだ。インシデント後、多くの企業は「最悪の事態は乗り越えた」と考え、新たな攻撃に気付かないことが多い。
サイバー攻撃への備えはユーザーデータやビジネスを守ることだけではなく、企業の評判を守ることでもある。攻撃への対応を誤れば運営上の頭痛の種になるだけでなく、評判やその後のビジネス拡大の中で悪夢を見ることを経営陣は認識しなければならない。
(注1)Infinitely ready.(Infinite Blue)
(注2)SEC pushes for tougher cybersecurity disclosure rules(Cybersecurity Dive)
(注3)Alarming Cyber Statistics For Mid-Year 2022 That You Need To Know(Forbes)
© Industry Dive. All rights reserved.
注目のテーマ
人気記事ランキング
- 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- AI市場は約7000億円規模に 2024年以降の成長率はどう推移する? IDC予測
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「アダルトビデオが無料です」――IE標的のトロイの木馬に要注意
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
ITmediaはアイティメディア株式会社の登録商標です。