セキュリティ事故経験は7割? 数字でみるニッポン企業の現実:セキュリティ事故の被害を回避するインシデントレスポンス(2/2 ページ)
サイバー攻撃や内部不正による情報漏えいなどの深刻な事故が近年相次ぐ。企業ではセキュリティ事故への対応や対策強化が叫ばれるが、その現状はどうか。各種統計からその実態を探ってみたい。
セキュリティリスクへの対応は道半ば
企業や組織のセキュリティ対策は、ルールや規定で人による危険な行為を禁止したり、ウイルス対策ソフトやファイアウォールを導入して外部からの攻撃を遮断したりするといった、脅威やリスクを“未然に防ぐ”アプローチが主流だ。
しかし、このアプローチでセキュリティ対策を講じていても、セキュリティ事故を未然に、かつ“カンペキ”に防ぐことは当然ながら不可能である。このため、最近ではセキュリティの脅威やリスクへの対応を重視する組織環境を整備する動きが広まりつつある。
例えば、「CISO」(最高情報セキュリティ責任者)と呼ばれる役員クラスのセキュリティ担当者を設置する企業は、前項のIPAの調査では23.4%に上る。特に大企業(年商10億円以上)では38.3%と高く、中小企業(同1億円未満)でも12.4%が設置していると回答した。NRIセキュアテクノロジーズの調査では上場企業が中心となるものの、CISOを設置している企業(兼務を含む)は45.9%ある。
セキュリティを担当する部門・部署の設置状況は、IPAの調査では兼務するケースを含めると41.9%あり、企業規模が大きいほど、この割合は高い。また、コンピュータ関連事故に対応する「CSIRT」(コンピュータセキュリティ事故対応チーム)は、NRIセキュアテクノロジーズの調査によれば、CISRTを構築済み、検討中までを含めると半数近い企業が関心を持っている。
セキュリティ事故に企業が危機意識を持つのは、金銭的な被害や社会でのイメージダウンといった、事業への悪影響が無視できない課題になっているからだとされる。
トレンドマイクロの調査によれば、事故を経験した企業・組織892件のうち、467件の実被害が発生したと回答。被害総額は1000万円未満が40.5%で最も多いが、「1億円以上」も16.9%に上る。ここでの被害総額は、システムの復旧や停止中の効率低下・売上機会の損失、株価下落、イメージの失墜、再発防止策、法的補償など、事故によって生じたあらゆる損害となる。
しかし情報セキュリティへ従来以上に集中的に取り組む動きは、まだ始まったばかり。NRIセキュアテクノロジーズの調査によると、専任のCISOがいる企業は2.9%、CSIRTを構築して有効に機能している企業は5.3%にとどまる。IPAの調査でもセキュリティ専門部署・部門がある企業は12.4%だった。
多くの企業がセキュリティ事故を経験し、事故から多額の被害を伴うケースが多い状況を考慮すると、専任のCISOや部門・部署を設置するだけでなく、平時・有事ともにこうした対応体制を有効に機能する状況に整備することが急がれるだろう。
NRIセキュアテクノロジーズによれば、例えば、大手金融機関ではCISOが主催し、CIO(情報システム担当最高責任者)も陪席する会議を週に1度行い、さまざまなセキュリティの課題についてそれぞれのトップが認識を共有したり、改善に向けた方策を検討している。セキュリティ担当部門と情報システム部門を切り分けているのは、セキュリティがITだけでない経営課題であるという認識からであり、それぞれ部門が連携しながら、時にはブレーキ役にもなることで、有効に機能するセキュリティ対応を図っているという。
また専任のCISO設置を目指す企業の場合、大手製造企業では社外からの適任者の採用を進め、別の金融機関ではセキュリティ責任者をCISOに昇格させ、専門性を補うために外部企業のサービスを併用しているという。
理想的なセキュリティ対策や事故対応体制の実現は一朝一夕にはいかないが、それを意識して動いている企業はさまざまな方法を既に試みているようだ。
関連記事
- サイバー攻撃対応は時間勝負、早くする仕組みを提供――インテル セキュリティ
組織に侵入したマルウェアの分析や影響の調査などにおける作業を支援し、脅威の検出から対応までの時間を短くすることで被害を抑止していけるという。 - セキュリティインシデントに強い組織づくり 標的型攻撃を再点検する
国内企業・組織を狙う標的型攻撃の脅威が改めて注目された2015年。情報資産やシステムをインシデントの被害からどう守るべきだろうか――ITmedia エンタープライズ主催セミナーではセキュリティの専門家が標的型攻撃を中心とする対策ポイントを解説した。 - 世界や米国にみるセキュリティ人材の育成術と日本の課題
加速するビッグデータビジネスにおいて、情報セキュリティをコントロールできる人材の育成が追い付いていないのは、万国共通の悩みだ。クラウドコンピューティングやクラウドソーシングを活用して、将来を担う人材へテクノロジーと運用管理の両面の経験/スキルを学ぶ場を提供する動きが世界中に広がっている。 - CSIRTづくりに“魂”を込めて――JPCERT/CCのアドバイス
「社員1000人の会社では何人のCSIRT担当者が必要でしょうか……」。この視点で検討していくと、失敗してしまうかもしれません。JPCERT/CCにCSIRTづくりのポイントを聞きました。 - 日本の中枢を守れ――政府のサイバー演習「CYDER」の現場
標的型サイバー攻撃などの深刻な事態で求められるのは、被害抑止に向けた的確で速やかな対応だ。中央官庁や重要インフラ企業を対象に総務省が実施しているサイバー演習の現場を取材した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.