2020/04/02
DX時代のデジタルリスク
放置されているリスク
サイバー攻撃リスクの例を挙げると、IT部門が社員の利便性を高めるために、モバイルパソコンやスマートフォンなどさまざまなデバイスの導入を多様な方法(会社支給やBYODなど)で用意するのに対して、セキュリティー部門がそれら全てをカバーできないセキュリティー対策となってしまったり、コンプライアンス部門が社内制度の整備に追いつかなかったりするなど、組織間をまたがって認識されるべきリスクが生じているにもかかわらず、しばらくの間放置され、侵害されたときに初めて顕在化するという事態になっています。
このようなリスクの放置は、今世間を騒がせている新型コロナウイルス(執筆時点2020年3月21日)の影響で、多くの組織がリモートアクセスによる在宅勤務の実施を目指している中でも起こっていると考えられます。組織の中で、ユーザーがもっと俯瞰的に組織のデジタル基盤を見つめ、従業員がユーザーとしてセキュリティーのフィードバックをできれば、サイバー攻撃リスクを減らせる可能性が高いと考えられます。
ところが、日本ではセキュリティー人材の不足が懸念されています。KPMGコンサルティングとRSAが2019年に実施した統計調査によりますと、セキュリティー人材ならびにリテラシー(セキュリティーに対する知識)の不足について悩んでいる組織が多くあります。特にサイバーセキュリティー対策が進んでいない原因として、「知見のある実務担当者が足りない」「従業員の意識が低い」「人的リソースが不足している」がトップ3として挙げられ、人材不足が社会全体の課題となっています。欧米と比較すると、日本でセキュリティー知識のある人材は、ユーザー企業よりもITベンダー側に集まっている傾向があるようで、それも一要因なのかもしれません。これでは、組織のデジタル基盤を見つめ直したり、ユーザーとしてセキュリティーのフィードバックを返したりするのは難しいでしょう。
そのような人材不足の中、そしてサイロ化された組織の中で、サイバーリスクを低減するにはどうしたらよいでしょうか。
攻撃に対する素早い検知でリスク低減
サイバー攻撃リスクを低減するにあたり、日本では「サイバーセキュリティガイドライン」(2017年11月16日にVer2.0に改訂)が参考になります。サイバーセキュリティガイドラインには、サイバー攻撃の特定、防御、検知、対応、復旧を備えておくことが書かれています。日本の組織では、特定や防御といったいわゆる事前対策が進んでいると言われており、ファイアウォールやアンチウイルスの普及率は高くなっています。逆に、検知や復旧といった事後対応については遅れをとっており、組織外部からの指摘を受けてサイバー攻撃による被害が発覚しているケースが半数以上あるようです(*)。 サイロ化された組織が一体となってサイバー攻撃リスクに対峙していくには、サイバー攻撃に対する素早い検知で、ビジネスインパクトを示す(可視化する)ことが、各部門の知見や協力を得ることに、また次の対応や復旧につながっていきます。
素早く検知するには、組織内のデジタル基盤から抽出される情報(ネットワーク通信パケット、サーバのログ、パソコンでのユーザーの行動など)の多くを分析して、攻撃の兆候をつかむことが大事ですが、分析には人手を要することが多々あります。この人材不足の中、人を集めることが難しい上に、誰か特定の人に頼るという属人的な対応をしていると、セキュリティーレベルを保つことができません。よく、サイバーセキュリティーには、People(人)、Process(仕組み)、Technology(テクノロジー)が一体となって対策すると言われますが、人材を多くそろえることが難しい今、検知テクノロジーを活用し、対応の仕組み(自動化も含む)を確立することで、リスクの低減に努めていくことが肝要と思われます。
自組織のサイバー人材が不足している、あるいはサイロ化された部門間に見えない新たなリスクを発生させていると感じたら、まずはその見えないサイバーリスクを顕在化させる検知能力を高めることと、テクノロジーの活用で対応の自動化を進めることを検討されることをお勧めします。
(*)経済産業省 「サイバーセキュリティ経営ガイドラインの改定のポイント」(2019年11月16日)より
https://www.meti.go.jp/policy/netsecurity/downloadfiles/overview.pdf
- keyword
- デジタルトランスフォーメーション
- デジタルリスク
DX時代のデジタルリスクの他の記事
おすすめ記事
-
-
リスク対策.com編集長が斬る!【2024年4月23日配信アーカイブ】
【4月23日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:南海トラフ地震臨時情報を想定した訓練手法
2024/04/23
-
-
-
2023年防災・BCP・リスクマネジメント事例集【永久保存版】
リスク対策.comは、PDF媒体「月刊BCPリーダーズ」2023年1月号~12月号に掲載した企業事例記事を抜粋し、テーマ別にまとめました。合計16社の取り組みを読むことができます。さまざまな業種・規模の企業事例は、防災・BCP、リスクマネジメントの実践イメージをつかむうえで有効。自社の学びや振り返り、改善にお役立てください。
2024/04/22
-
-
リスク対策.com編集長が斬る!【2024年4月16日配信アーカイブ】
【4月16日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:熊本地震におけるBCP
2024/04/16
-
調達先の分散化で製造停止を回避
2018年の西日本豪雨で甚大な被害を受けた岡山県倉敷市真備町。オフィス家具を製造するホリグチは真備町内でも高台に立地するため、工場と事務所は無事だった。しかし通信と物流がストップ。事業を続けるため工夫を重ねた。その後、被災経験から保険を見直し、調達先も分散化。おかげで2023年5月には調達先で事故が起き仕入れがストップするも、代替先からの仕入れで解決した。
2024/04/16
-
工場が吹き飛ぶ爆発被害からの再起動
2018年の西日本豪雨で隣接するアルミ工場が爆発し、施設の一部が吹き飛ぶなど壊滅的な被害を受けた川上鉄工所。新たな設備の調達に苦労するも、8カ月後に工場の再稼働を果たす。その後、BCPの策定に取り組んだ。事業継続で最大の障害は金属の加温設備。浸水したら工場はストップする。同社は対策に動き出している。
2024/04/15
-
動きやすい対策本部のディテールを随所に
1971年にから、、50年以上にわたり首都圏の流通を支えてきた東京流通センター。物流の要としての機能だけではなく、オフィスビルやイベントホールも備える。2017年、2023年には免震装置を導入した最新の物流ビルを竣工。同社は防災対策だけではなく、BCMにも力を入れている。
2024/04/12
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方