推定読書時間:5分
サイバー攻撃による脅威は、グローバルで拡大し続けています。今や、企業規模や業界に関わらず、あらゆる企業が攻撃の対象となり得ます。日本においてもサイバー攻撃の件数は年々増えており、情報通信研究機構の調査によれば2018年から2022年の5年間で、サイバー攻撃の件数は227%に増えています。(i)
特に日本の主要なインフラは、犯罪組織や他国の政府組織からの攻撃に対して脆弱だと懸念されており、2022年には日本政府が金融や情報通信、航空、鉄道など14分野にサイバー攻撃への備えを義務付けしました。
企業の重要な機密情報を保護し、サイバー攻撃による経済的損失を防ぐためには、適切なサイバーセキュリティ戦略を策定し、対策に積極的に取り組む姿勢が必要です。
今回は、効果的なサイバーセキュリティ戦略を策定するためのヒントをご紹介します。
今、サイバーセキュリティ戦略が必要な理由
理由①:テレワークなど、アフターコロナの新しい働き方が普及
新型コロナウイルス感染症のパンデミックの影響で、日本でも在宅勤務が急速に普及しました。アフターコロナの時代にも、こうしたテレワークを継続する企業は多くみられます。しかし、個人のネットワークは多くの脅威に晒されるため、サイバーセキュリティの必要性が高まっています。
理由②:DXの加速と、クラウド移行の広まり
新型コロナウイルス感染症の拡大以降、日本でもあらゆる面でデジタル化が加速しており、特にクラウドサービスの利用は急激に増えています。しかし、クラウドの運用は、正しく行わないとサイバー攻撃のリスクを高めます。PWCのグローバル調査によれば、58%の組織がクラウドへのサイバー攻撃を経験しています。また、攻撃の種類はほぼ全ての形を取りうることが予想されるため、堅牢なセキュリテイ対策が必要です(ii)。
理由③:サイバー攻撃のテクノロジーが進化
昨今のサイバー攻撃は、最先端技術を用いたツールによって高度化しています。特に、フィッシング攻撃、ランサムウェア、SQLインジェクション、DoS攻撃などは巧妙化しており被害の数も増えています。単にファイアウォールや、ウイルス対策ソフトウェアをインストールするだけでは十分な対策とはいえません。全従業員へのトレーニングなどを含め、IT部門だけではなく組織全体でサイバーセキュリティに取り組むことが必須です。
効果的なサイバーセキュリティ戦略を構築するためのコツ
サイバーセキュリティ戦略の策定が、セキュリティを強化するために非常に重要なことは明確なのですが、ソフォスとTech Research Asia(TRA)社が共同で実施した調査レポートによると、2021年に「サイバーセキュリティを充分に最適化できている」と答えた企業は全体の18%でした(iii)。また、半数以上の企業が「最後にサイバーセキュリティ戦略を見直したのは12か月以上前」と回答しています。適切なサイバーセキュリティ戦略を策定し、定期的に見直していくことは、多くの企業にとって難しいのが現状のようです。しかし、下記のポイントを押さえることにより、最適なサイバーセキュリティ戦略を策定し、定期的にブラッシュアップをすることが可能です。
1. 資産を把握する
サイバー攻撃や、セキュリティ事故によって侵害や暴露を受ける可能性があるものは、すべて資産に含まれるべきです。これには、データはもちろん、デバイスなどの周辺機器なども該当します。また、リモートワーカーの資産とデータを含めることも忘れないようにしましょう。データ資産のライフサイクルや、データの保管場所、移動方法、使用方法なども記録して把握しておきましょう。
2. リスクを把握する
組織構成、社内制度、社内システムのセキュリティリスクを評価します。これによって脆弱な領域を特定し、対策状況を分析することができます。この時、業界特有のリスクについても特定しておきましょう。
3. セキュリティ標準を構築する
ISO/IEC 27001などの情報セキュリティマネジメントシステム(ISMS)に関する国際規格の認証を取得することも検討してみましょう。対外的な信頼を得られるだけでなく、セキュリティ事故や、情報システムの故障、災害発生に備えた体制を整備することが可能になります。この他にも、セキュリティ対策への責任と権限を明確化することにより、全従業員にサイバーセキュリティに対する意識付けや責任感を持たせたりすることに役立ちます。また、例えばPCI-DDSなどの業界固有の標準を構築するのも効果的でしょう。
4. 人的リソースと予算の効率的な配分を考える
サイバーセキュリティに関して多くの企業が抱えている課題の一つが、予算不足と人材不足です。限られたリソースを効率的に活用できなければ、サイバーセキュリティを強化することはできません。これは非常に難しい課題ですが、下記を考慮して戦略を策定しましょう。
サイバーセキュリティの専門家から、予算についてのアドバイスをもらいましょう。
サイバーセキュリティは企業の存続にも影響を与える重要な課題ですが、直接利益を生み出す部門ではありません。セキュリティ対策に必要な予算を確保するには、経営幹部に重要性を理解してもらい賛同を得る必要があります。また、今どこに、どういった対策が必要なのか、優先順位をつけるためにも専門家の知識と経験が大変重要です。
サードパーティベンダーや、AIなどのテクノロジーを活用して人材不足のギャップを埋めましょう。
サイバーセキュリティ戦略の策定や維持、従業員へのトレーニング提供などは、アウトソーシングすることは難しく、適切ではありません。しかし、運用に関しては、サードバーティーやテクノロジーを活用して社内対応を減らすことが可能でしょう。
5. サイバーセキュリティチームを作り、タスク担当者に責任と役割を明示しましょう
サイバーセキュリティのスキルを持つ担当者が社内にいることは、セキュリテイ対策を講じる上で、とても大切です。社内に専門のチームがいないと、他部門への啓蒙や教育を効果的に行ったり、ビジネスの目標に適切にセキュリティニーズを合わせたりすることができません。セキュリティチームを設置して、各担当者の責任と役割を明確化しましょう。
戦略を実装し、ビジネス状況に合わせて維持する
上記①〜⑤のポイントを押さえたら、サイバーセキュリティ戦略を実装するためのプロジェクト計画を作りましょう。この際、ビジネス目標の達成を考慮し、コアなセキュリティニーズに必要な要件を洗い出しましょう。具体的には下記を作成します。
サイバーセキュリティに関するポリシーの作成
-
実際にサイバー攻撃を受けた際の、対応方法や手続きを取り決めておく
-
データプライバシーポリシー、予防措置、災害復旧計画も含める
継続的なベストプラクティスの作成
-
従業員へのトレーニング計画の作成
セキュリティは全員の責任と周知させる
-
サイバーセキュリテイ戦略のフレームワークを定期的に再評価し、対策とアプローチを最適化する
業界・事業規模を問わず、現在ではあらゆる企業が、サイバー攻撃のリスクに晒されています。セキュリティの専門家の力を借りて最善の戦略を構築し、企業の信頼と持続可能性を確保しましょう。
サイバーセキュリティの専門家の採用についてお悩みでしたら、ぜひロバート・ハーフへご相談ください。貴社のビジョンやご希望をお伺いした上で、最適な人材ソリューションをご提案いたします。
■ 出典:
(i)情報通信研究機構 NICTER 観測レポート 2022
(ii)PWC, 2022 Global Trust Insights, 2021年10月
(iii)SOPHOS日本およびアジア太平洋地域におけるサイバーセキュリティの展望第