サイバー脅威への対策は、もちろんお金をかけて新たに人を雇えばできることはたくさんあります。しかしAcronisは、お金をかけなくとも日頃から備えられるソフトスキルを提案しています。
年功序列が残る日本企業にとっての組織面での課題は、いかに社内の風通しをよくし、透明性を高めるかです。「何かおかしいと思っても、間違っていたら嫌なので声をあげたくない」「フィシングメールを誤って開いてしまったが誰に報告すべきか分からない」など、社内の風通しをよくするだけで未然に防げる問題は幾つかあります。
サイバーセキュリティの担当者はサイバー攻撃がいかに広域にわたって会社や組織に影響しているのか理解していないケースがあります。何か起きた時にどこの部署とどう協力していくかなど、普段から分野の異なるチームメンバー同士が理解を深めようという積極的な姿勢や、話を聞く傾聴力が大切になってきます。
知識共有とは個人の知識を組織の知識としてまとめる行為のことです。サイバーレジリエンスを備えた組織は、重要な情報を共有できる場所(社内Wikiなど)を一元管理しています。個人投稿者に対して、自分の専門領域内でドキュメントのレビューや追加を奨励する必要があります。
IT技術チームのメンバーは何が起こったのか、それに対して今どう対処しているのかを外部の従業員に分かる言葉で説明する必要があります。またIT部門以外である広報が一般や投資家に向けて状況を説明できるようにすることも必要です。
サイバー脅威に対して経営幹部から若い従業員まで組織の中で上下関係を超えた範囲で対処する必要もあります。若い従業員がサイバー攻撃の軽減につながる重要な情報を持っている場合、その意見を気軽に発言できるようにし、組織的なイニシアテイブに貢献するよう促しコーチングするのは上司の役目です。
数年前に成功していた危機管理の対策が今も有効であるとは限りません。新しいものに挑戦し、失敗を恐れないオープンかつしなやかな姿勢が必要です。
これらは社内をまとめるために必要な能力です。利害関係や意見の相違などサイバー脅威に対して、それぞれの考えをまとめて合意に持ち込む力は非常に重要になります。
ソフトスキルを備えるには時間も労力もかかりますが、日頃の努力は必ず身を結びます。余裕があれば外部のコンサル会社の力を借りてもいいでしょう。
ITツールや投資が必要なことにはなりますが、ソフトスキルに加えて自動化(オートメーション)の活用も重要です。多くのサイバー攻撃は“金曜の夜”に起きています。週末を控え帰途へと急ぐ従業員が多い中、サイバー攻撃を仕掛け、週明け月曜日に従業員が出社したら時すでに遅し、というケースは跡を絶ちません。昔に比べて、インターネット環境も数段に向上し以前よりも速くデータが盗まれてしまいます。自社のデータに何が起きているかすぐ分かるような見える化が求められています。
Acronisはサイバーレジリエンスを考える上での5つのベクトルが重要だと考えています。その5つは以下の通りです。
当社はこれを「SAPAS」と呼んでいます。つまり元のデータの正確で正しいレプリカであるバックアップを、信頼性の高いコピーとしてどこでも利用でき、データ閲覧やアクセスが可能な人の管理と透明性を確保しながらサイバー脅威から身を守っていく。「人」「プロセス」「製品」の枠組みを完璧に運用していくことは容易ではありませんが、日本でも少しずつ動きが出てきています。
「人」に関しての例を紹介すると、従業員300人程度の製造業では顧客である大企業のポリシーに後押しされる形ではあるものの、社内のスキル向上のために標的型メール訓練やセキュリティポリシーの説明会を実施する企業が出てきています。また、ある日本の中小企業はサーバの故障でデータを失ってしまい、それを機にクラウドバックアップを導入することに決めました。
サイバーレジリエンスをサポートする「製品」が活躍するのはサイバー攻撃の被害に遭った場合に限りません。人為的なミスや退職した従業員によるデータの持ち出し、自然災害などさまざまな要因があります。大企業では複数のセキュリティ製品で管理に苦労するケースもありますが、他方で中小企業では何も導入されていない会社もあります。何かが起きてからではなく、事前に対策製品を導入するよう前向きに検討する必要があります。
最後に「プロセス」ですが、これは多くの国内企業がなかなか着手できていないのが現状です。従業員200人以下の企業で問題発生時の復旧手順を定めているところはほとんどありません。一方、大企業では定められているものの内部での浸透が不十分という問題が起きています。
取引先からサイバーレジリエンスに該当するような手順を定めるよう依頼され参考資料としてもらったものをそのままコピー&ペーストしている例も見受けられます。IPA(情報処理推進機構)のガイドラインを参照して自社にあったプランを作成している意識の高い企業も一部ありますが、コンサルタント会社に丸投げの企業も少なくありません。
技術面だけを追求するサイバーセキュリティは過去のものと捉え、ソフトスキルなどを含め組織としてサイバーレジリエンスのシステムに移行していくことが、あらゆる事態に備えることにつながっていきます。前編でも紹介したサイバーレジリエンス実現に向けた4つのポイントをあらためて自社内で確認してみましょう。
Copyright © ITmedia, Inc. All Rights Reserved.