2023/06/29
デジタルリスクの地平線 ― 国際的・業際的企業コミュニティの最前線
小原 浩之
日本の大手総合商社に34年間籍を置き、営業を一通り経験した後、経営企画・連結経営リスク・BCP・個人情報保護・情報セキュリティおよびサイバーセキュリティに関する制度の立案・推進を長年リードしてきた経験を持つ。2018年5月から、英国を本拠地とする国際的NPOであるISFの日本および極東担当代表に就き、グローバル水準のコミュニティー形成を図っている。また、デジタルで繋がっていく「接続性」の中で、人の繋がりを重視した社会デザイン形成に貢献したいと願い、デジタルリスクに関する規範研究やコンサルティングをしている。
BCPのプロが集うリスク対策.comにおいて、演習ネタを書くのは無謀なことと、今まで禁じ手にしてきました。ですが、最近、自分自身がサイバー攻撃模擬演習に参加する機会を得て、その体験を反芻するなかで、ああ、こういうことなのか、と実感しましたので、書かせて頂くことに致します。
相田みつを氏の言葉に、「柔道の基本は受身。受身とはころぶ練習。まける練習。人の前にぶざまに恥をさらす稽古。受身が身に着けば達人。まけることの尊さがわかるから。」というものがあるそうです。「百戦錬磨」とか「習うより慣れろ」とか言ったような短い常套句よりも、じんわり効いてくる言葉ではないでしょうか。サイバー攻撃についても、常にやられる立場になるわけですが、実にぶざまにやられることも少なくありません。攻撃をうけることは避けられないにせよ、受身が上手くなることはできるでしょうか。
柔道の達人のたとえをイメージに置きながら、現実のサイバー攻撃に対する防御の場面を模したサイバーセキュリティ演習によって、果たしてサイバー防御の達人に近づけるのか、演習の具体的なメリットを、いつものようにスティーブ氏に整理してもらうことにしましょう。
(ここから引用)
定期的にセキュリティ演習を実施すること以上に、企業の強みや弱みを把握する方法はないのかもしれません。
Published: December 28, 2020
SOURCE: DARKReading
Steve Durbin, Chief Executive, Information Security Forum
情報を機密に保つことは、たとえ潤沢な人的資源があったとしても難しい課題です。最近でも、任天堂、Twitter、Marriott、Zoomといった企業が次々と、データ漏洩で世間の耳目を集めるなど、どんな企業であってもサイバー犯罪者の前には無傷では居られないことは明白です。ところが、ほとんどの企業は、サイバー攻撃を被った場合のリスクやダメージを軽減するための防御策やポリシーの策定が必要なことは理解しているものの、多くの場合、徹底的なテストを怠っています。 サイバーセキュリティ演習では、企業固有のシナリオに基づいたサイバー攻撃が現実となった時に会社としてどう対処すべきかについて、有益な示唆を得るためにシミュレーションをします。また、基本的で小規模な短時間のテストから、複雑で大規模な持続的攻撃まで、サイバーセキュリティ演習のシナリオによって、自社の防御戦略の効果検証をしたり、直ちに修正が必要な弱点を浮き彫りにしたりと、幅のあるものです。
そうした重要性にもかかわらず、ISF Benchmarkで自社評価を行った企業の74%は、開発中の重要システムをサイバー攻撃のシミュレーションや演習の対象にしていないと回答しました。サイバーセキュリティ演習は、そもそも時間がかかるし、実施には費用がかかる上に、混乱を招く可能性さえあると受け取られているためと思われます。適切に計画が立てられたならば、そのようなことになるはずもありません。サイバーセキュリティ演習というものは、いかに圧倒的なリアリティをもってメリットをもたらすものなのか、以下に10の視点をご参考に供します。
どうしてもサイバーセキュリティ演習では、弱点や問題点を見つけることに焦点が当てられることが多いわけですが、自社でうまく機能していることを見極めることにも大きな意義があります。防御戦略が鉄壁であればどのシステムにも似た方法が取れますし、ポリシーがコンピュータ化されていればテンプレートとして展開できますし、さらに、実戦準備ができた従業員の知見は他の従業員のトレーニングにも役立ちます。
おそらく最も明白なメリットは、サイバーセキュリティ演習を行うことで、将来ありうる攻撃に対する対処法を改善する機会が得られるということです。演習を通じて、自社の防御戦略の基礎にある理論が証拠によって裏付けられるかもしれませんし、新たなアプローチの必要性が見つかるかもしれません。いずれにせよ、結果として改善の原動力となるでしょう。
実体験に勝るものはありません。サイバーセキュリティ演習によって従業員は、攻撃に対処する実践的な経験が得られ、いつ起きてもおかしくないという意識も高まり、正しい対応方法のすべてが学べるのです。また、実践的な要素があることで、学習の効果を長く保つことができます。
攻撃に備えるためには、さまざまなシナリオに対応するために必要なリソースや、攻撃後に通常業務を再開するまでにかかる時間について、多くの仮定や見積もりが行われます。サイバーセキュリティ演習によって、かかる費用と時間軸が数字として明確になることから、自社のリジリエンスを高めるのに役立てたり、予算申請の説明に利用したりすることができます。
大規模な企業であっても、外部からの支援なしであらゆる攻撃シナリオに対処できるチームを維持することは、多くの場合、現実的ではありません。攻撃シナリオがどういう場合に、社外の支援を必要とするのか? 社外の専門知識をどれくらい迅速に確保できるのか? それにかかる費用はどれくらいか? セキュリティの演習を実施することで、こうした疑問点に答えることができるようになります。
攻撃のさまざまな局面をどの程度迅速に処理すればよいのか、また防御措置の効果はどの程度であるべきか、について期待値を設定することは、自社戦略を定義する上で不可欠なことです。しかし、その目標が満たされているかどうかを証明するには、実際に攻撃が発生したときか、セキュリティ演習を実施したときだけです。こうしたデータは、今後の戦略に反映されて、会社の取り組みにおいて指針となるはずです。
デジタルリスクの地平線 ― 国際的・業際的企業コミュニティの最前線の他の記事
おすすめ記事
リスク対策.com編集長が斬る!【2024年4月23日配信アーカイブ】
【4月23日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:南海トラフ地震臨時情報を想定した訓練手法
2024/04/23
2023年防災・BCP・リスクマネジメント事例集【永久保存版】
リスク対策.comは、PDF媒体「月刊BCPリーダーズ」2023年1月号~12月号に掲載した企業事例記事を抜粋し、テーマ別にまとめました。合計16社の取り組みを読むことができます。さまざまな業種・規模の企業事例は、防災・BCP、リスクマネジメントの実践イメージをつかむうえで有効。自社の学びや振り返り、改善にお役立てください。
2024/04/22
リスク対策.com編集長が斬る!【2024年4月16日配信アーカイブ】
【4月16日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:熊本地震におけるBCP
2024/04/16
調達先の分散化で製造停止を回避
2018年の西日本豪雨で甚大な被害を受けた岡山県倉敷市真備町。オフィス家具を製造するホリグチは真備町内でも高台に立地するため、工場と事務所は無事だった。しかし通信と物流がストップ。事業を続けるため工夫を重ねた。その後、被災経験から保険を見直し、調達先も分散化。おかげで2023年5月には調達先で事故が起き仕入れがストップするも、代替先からの仕入れで解決した。
2024/04/16
工場が吹き飛ぶ爆発被害からの再起動
2018年の西日本豪雨で隣接するアルミ工場が爆発し、施設の一部が吹き飛ぶなど壊滅的な被害を受けた川上鉄工所。新たな設備の調達に苦労するも、8カ月後に工場の再稼働を果たす。その後、BCPの策定に取り組んだ。事業継続で最大の障害は金属の加温設備。浸水したら工場はストップする。同社は対策に動き出している。
2024/04/15
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
![危機管理2022[特別版]](https://risk.ismcdn.jp/mwimgs/f/6/160wm/img_f648c41c9ab3efa47e42de691aa7a2dc215249.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方