“お金をかけずに”サイバーレジリエンスを高める方法:リサーチで見る、サイバーレジリエンス実現の勘所(2/2 ページ)
サイバー攻撃の激化に向けてサイバーレジリエンス能力を高めることが企業には求められています。ただ、これに向けてすべてを購入する予算やリソースが不足している企業もあることでしょう。そこで本稿では“お金をかけなくてもできる対策”を紹介します。
お金をかけずにできる対策/伸ばせるスキル
サイバー脅威への対策は、もちろんお金をかけて新たに人を雇えばできることはたくさんあります。しかしAcronisは、お金をかけなくとも日頃から備えられるソフトスキルを提案しています。
年功序列が残る日本企業にとっての組織面での課題は、いかに社内の風通しをよくし、透明性を高めるかです。「何かおかしいと思っても、間違っていたら嫌なので声をあげたくない」「フィシングメールを誤って開いてしまったが誰に報告すべきか分からない」など、社内の風通しをよくするだけで未然に防げる問題は幾つかあります。
1.傾聴力
サイバーセキュリティの担当者はサイバー攻撃がいかに広域にわたって会社や組織に影響しているのか理解していないケースがあります。何か起きた時にどこの部署とどう協力していくかなど、普段から分野の異なるチームメンバー同士が理解を深めようという積極的な姿勢や、話を聞く傾聴力が大切になってきます。
2.知識共有
知識共有とは個人の知識を組織の知識としてまとめる行為のことです。サイバーレジリエンスを備えた組織は、重要な情報を共有できる場所(社内Wikiなど)を一元管理しています。個人投稿者に対して、自分の専門領域内でドキュメントのレビューや追加を奨励する必要があります。
3.コミュニケーション力
IT技術チームのメンバーは何が起こったのか、それに対して今どう対処しているのかを外部の従業員に分かる言葉で説明する必要があります。またIT部門以外である広報が一般や投資家に向けて状況を説明できるようにすることも必要です。
4.リーダーシップとコーチング
サイバー脅威に対して経営幹部から若い従業員まで組織の中で上下関係を超えた範囲で対処する必要もあります。若い従業員がサイバー攻撃の軽減につながる重要な情報を持っている場合、その意見を気軽に発言できるようにし、組織的なイニシアテイブに貢献するよう促しコーチングするのは上司の役目です。
5.柔軟性
数年前に成功していた危機管理の対策が今も有効であるとは限りません。新しいものに挑戦し、失敗を恐れないオープンかつしなやかな姿勢が必要です。
6.交渉力・説得力
これらは社内をまとめるために必要な能力です。利害関係や意見の相違などサイバー脅威に対して、それぞれの考えをまとめて合意に持ち込む力は非常に重要になります。
ソフトスキルを備えるには時間も労力もかかりますが、日頃の努力は必ず身を結びます。余裕があれば外部のコンサル会社の力を借りてもいいでしょう。
ITツールや投資が必要なことにはなりますが、ソフトスキルに加えて自動化(オートメーション)の活用も重要です。多くのサイバー攻撃は“金曜の夜”に起きています。週末を控え帰途へと急ぐ従業員が多い中、サイバー攻撃を仕掛け、週明け月曜日に従業員が出社したら時すでに遅し、というケースは跡を絶ちません。昔に比べて、インターネット環境も数段に向上し以前よりも速くデータが盗まれてしまいます。自社のデータに何が起きているかすぐ分かるような見える化が求められています。
サイバーレジリエンスに必要な5つのベクトル
Acronisはサイバーレジリエンスを考える上での5つのベクトルが重要だと考えています。その5つは以下の通りです。
- 安全性(Safety)
- アクセシビリティー(Accessibility)
- プライバシー(Privacy)
- 真正性(Authenticity)
- セキュリティ(Security)
当社はこれを「SAPAS」と呼んでいます。つまり元のデータの正確で正しいレプリカであるバックアップを、信頼性の高いコピーとしてどこでも利用でき、データ閲覧やアクセスが可能な人の管理と透明性を確保しながらサイバー脅威から身を守っていく。「人」「プロセス」「製品」の枠組みを完璧に運用していくことは容易ではありませんが、日本でも少しずつ動きが出てきています。
「人」に関しての例を紹介すると、従業員300人程度の製造業では顧客である大企業のポリシーに後押しされる形ではあるものの、社内のスキル向上のために標的型メール訓練やセキュリティポリシーの説明会を実施する企業が出てきています。また、ある日本の中小企業はサーバの故障でデータを失ってしまい、それを機にクラウドバックアップを導入することに決めました。
サイバーレジリエンスをサポートする「製品」が活躍するのはサイバー攻撃の被害に遭った場合に限りません。人為的なミスや退職した従業員によるデータの持ち出し、自然災害などさまざまな要因があります。大企業では複数のセキュリティ製品で管理に苦労するケースもありますが、他方で中小企業では何も導入されていない会社もあります。何かが起きてからではなく、事前に対策製品を導入するよう前向きに検討する必要があります。
最後に「プロセス」ですが、これは多くの国内企業がなかなか着手できていないのが現状です。従業員200人以下の企業で問題発生時の復旧手順を定めているところはほとんどありません。一方、大企業では定められているものの内部での浸透が不十分という問題が起きています。
取引先からサイバーレジリエンスに該当するような手順を定めるよう依頼され参考資料としてもらったものをそのままコピー&ペーストしている例も見受けられます。IPA(情報処理推進機構)のガイドラインを参照して自社にあったプランを作成している意識の高い企業も一部ありますが、コンサルタント会社に丸投げの企業も少なくありません。
技術面だけを追求するサイバーセキュリティは過去のものと捉え、ソフトスキルなどを含め組織としてサイバーレジリエンスのシステムに移行していくことが、あらゆる事態に備えることにつながっていきます。前編でも紹介したサイバーレジリエンス実現に向けた4つのポイントをあらためて自社内で確認してみましょう。
- ソフトウェアのアップデートは常になされているか(予防=prevention)
- 誰がデータにアクセスしているか把握しているか(検知=detect)
- 不正なアクセスをブロックできるか(レスポンス=response)
- 最新のバックアップは取れているか(回復=recover)
関連記事
- 「日本企業はデータ保護意識が低すぎる」 サイバーレジリエンス向上のために見直すべき4つのこと
ランサムウェアが活発化する昨今、被害後の回復や復旧を迅速に実現するサイバーレジリエンスに注目が集まっています。しかし、実現にはハードルもあるようです。本稿では、グローバル調査から日本企業が抱えている問題点を洗い出します。 - サイバーレジリエンスの成熟度調査、日本は最下位――シスコ調査
シスコシステムズは、ハイブリッドワーク時代における企業のサイバーレジリエンスの成熟度を測る調査を実施した。これによると、ほとんどの日本企業は体制が整っていないことが明らかになった。 - サイバーレジリエンス調査 5社に1社が"初歩レベル"
Splunkは、ビジネスプロセスやサービスの中断につながる事象へのデジタルレジリエンス(変化への対応力)に関するグローバル調査を実施した。結果から明らかになった日本企業の特徴は。 - 「サイバーレジリエンス」にマイクロセグメンテーションが有効なワケ
マイクロセグメンテーションについて解説する本連載。後編ではクラウド利用が活発化する中で生まれた課題と、近年話題のサイバーレジリエンスに対してマイクロセグメンテーションがどう有効かを紹介する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.