「セキュリティに理解のない経営者」にならないための考え方 専門家に聞く4つの心構え:「セキュリティに理解のない経営者」にならないために(2/2 ページ)
情報漏えいだけでなく、業務停止などの経営リスクにもつながるサイバー攻撃。もはやセキュリティ対策は、IT部門だけでなく経営者自身も取り組むべき課題になっている。経営者はどんな姿勢で自社のセキュリティ対策と向き合うべきか、専門家に聞く。
実現できないゼロリスクは追いかけない
2つ目に意識すべきは、サイバー攻撃を100%防ぐのは不可能という考え方だ。「導入するだけで全ての問題を解決できるようなやり方は存在しない」と後藤学長。経営者は攻撃を100%防ぐことではなくリスクを1%でも減らすことを意識し、並行してサイバー攻撃を受けたときの対応を考えておくべきという。
そもそもセキュリティ対策は、攻撃者が新たな手段を生み出し、防御側がそれに対策することを繰り返すいたちごっこで、ゼロリスクを実現するのは現実的ではない。仮に実現を目指しても、コストと効果が見合わない。
しかも「セキュリティを突破されない」ことを前提に対策を取ると、実際にサイバー攻撃を受けたときを想定した準備がしにくくなる可能性もあるという。つまりゼロリスクを目指すことは、余計やコストやリソースが掛かるだけでなく、インシデントが発生したときの対応力不足にもつながるわけだ。
こうした事態を避けるためには、ゼロリスクではなく、リスクを最小限にするセキュリティを目指しつつ、防御を突破されたときの対策や、攻撃者の証跡を追う方法を並行して検討する必要がある。
ただし企業の規模によっては、実際にサイバー攻撃を受けても、自社だけで攻撃者の証跡を追ったり、原因を分析したりするのが難しい場合もある。有事に備え、あらかじめ自社の事業や業務と相性の良いセキュリティベンダーを探しておき、いざというときに協力できる体制を整えておくべきという。
「セキュリティはこの前やったからいいでしょ」はNG
3つ目は、こうしたセキュリティ対策を継続して行うことだ。サイバー攻撃がいたちごっこである以上、一時的にセキュリティを強化しても、将来突破される可能性がある。長期間にわたってサイバー攻撃から自社を守るためには「この前やったからいいでしょ」と考えず、継続的にセキュリティ対策に取り組むべきという。
セキュリティは“攻めの投資”
最後は、セキュリティ対策は情報を守るために仕方なく行う“守りの投資”ではなく、自社の信頼性を高める“攻めの投資”と捉えることだ。セキュリティ対策が充実しており、その内容を外部に説明できる企業は、投資家からの評価も高まりやすいと後藤学長は話す。
「本来、サイバー攻撃を受けた企業は被害者。しかし原因はどうあれ、攻撃を受けて情報が漏れてしまった企業は株価が下がる傾向にある。一方、攻撃を受けたとしても、事後に改善策や対策をしっかり説明できる企業が株価の回復が早い。同様に、平時においても投資家に自社の取り組みを説明できる企業はリスクが低いと判断され、評価が高まる傾向にある」
後藤学長によればこういった傾向は現在、日本では東証一部に上場しているような大手企業でみられるという。しかし、今後は中小企業にも浸透していくと見込む。
「米国では企業のセキュリティ対策や対応力を調査し、その結果を投資会社に販売するビジネスも生まれている。日本ではまだ先進的な企業だけが取り組みを進めている段階だが、いずれはこの考え方が広がり、中小企業などにも求められる時代が来ると考えている」
関連記事
- IPA、企業のセキュリティ診断ツール無料公開 Webブラウザでセルフチェック
情報セキュリティ対策の実施状況を企業がセルフチェックできる「サイバーセキュリティ経営可視化ツール」をIPAが公開。 - コロナで企業へのサイバー攻撃も拡大 対策には「技術現場だけでなく、経営者のリーダーシップが必要」と経産省
新型コロナウイルスの感染が拡大した今年3月以降、企業へのサイバー攻撃の危険度が増している。経産省は、対策には経営者のリーダーシップが必要だと注意を呼び掛けた。 - 10大セキュリティ事件2021 2位は東京五輪へのサイバー攻撃、1位は?
マカフィーが「2021年の10大セキュリティ事件」を発表。1位には、加盟店の名称など2000万件以上の情報が流出した可能性がある、電子決済サービス企業が利用するクラウドサービスへの不正アクセスがランクインした。 - クラウドからの情報漏えい、責任は誰に? SaaSやPaaSの大前提「責任共有モデル」とは 総務省が解説
クラウドの管理ミスで情報漏えいした――こんなセキュリティ事故の責任は誰にあるのか。クラウドサービスの利用企業が把握すべき大前提「責任共有モデル」を総務省の担当者に聞いた。 - クラウドの設定ミスを防ぐコツは? 100を超えるSaaSを比較した“SaaSおじさん”に聞く
クラウドサービスを導入する企業が増える一方で、設定ミスなどが原因のセキュリティ事故を心配する声も多い。では、どのような対策があるのか。クラウドの導入支援を手掛けるネクストモードの“SaaSおじさん”に説明してもらった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.