事業継続のためのセキュリティの取り組み(第4回)
- サイバーセキュリティ
事業継続のためのセキュリティの取り組み(第2回)
こんにちは。中⼩機構・中⼩企業アドバイザーの酒井です。前回のコラムでは、中⼩企業のセキュリティ取り組みの事例とセキュリティ取り組みの考え⽅についてご紹介しました。
今回は、その続き(前回はこちら)をお話しします。宜しくお願いします。
今回は、その続き(前回はこちら)をお話しします。宜しくお願いします。
- 目次
-
「情報セキュリティ白書2023」はご存知ですか?
-
インシデント発生から逆算するセキュリティ対策
-
取引先から「影響範囲はどこまでか?」と聞かれたら・・・
-
そのスピードが左右する「非常時の体制構築」と「影響範囲の特定」
-
できていますか?情報資産の「整理」と「把握」
「情報セキュリティ白書2023」はご存知ですか?
早速ですが、去る7月25日に、独立行政法人情報処理推進機構(IPA)から「情報セキュリティ白書2023」が発行されているのをご存知でしょうか。そこには中小企業向け情報セキュリティ支援策や情報セキュリティインシデントの現状及び対策、関連組織の取組み状況など、情報セキュリティに関する有益な情報が多く記載されています。
とりわけ、最近よく話題に上がる”ランサムウェア攻撃”*1 についても取り上げられています。
そこでは、攻撃の手口が複雑・巧妙化していることや組織の業種や規模も問わず広範に及んでいることで、サプライチェーン*2全体でのセキュリティ対策も重要だと警告しています。印刷書籍は有料ですが、PDF 版は無料でダウンロードできますのでご一読されることをお勧めします。また、(独)中⼩企業基盤整備機構が提供する経営相談チャットサービス「E-SODAN」(https://bizsapo.smrj.go.jp/)でも情報セキュリティを取り扱っていますので、合わせてご紹介します。
とりわけ、最近よく話題に上がる”ランサムウェア攻撃”*1 についても取り上げられています。
そこでは、攻撃の手口が複雑・巧妙化していることや組織の業種や規模も問わず広範に及んでいることで、サプライチェーン*2全体でのセキュリティ対策も重要だと警告しています。印刷書籍は有料ですが、PDF 版は無料でダウンロードできますのでご一読されることをお勧めします。また、(独)中⼩企業基盤整備機構が提供する経営相談チャットサービス「E-SODAN」(https://bizsapo.smrj.go.jp/)でも情報セキュリティを取り扱っていますので、合わせてご紹介します。
インシデント発生から逆算するセキュリティ対策
ここから前回コラムの続きをお話しします。
前回ご紹介しましたセキュリティの取り組み方の一つに、セキュリティインシデントの発生を想定し、そこから逆算的にセキュリティ対策を考えるという方法がありました。 この取り組み⽅法は、本コラムの原点である事業継続力強化計画の策定に当たってピッタリの手法だと思っています。
前回ご紹介しましたセキュリティの取り組み方の一つに、セキュリティインシデントの発生を想定し、そこから逆算的にセキュリティ対策を考えるという方法がありました。 この取り組み⽅法は、本コラムの原点である事業継続力強化計画の策定に当たってピッタリの手法だと思っています。
取引先から「影響範囲はどこまでか?」と聞かれたら・・・
さて、ひとたびセキュリティ事故を起こしてしまうと、取引先やメディアなどから
「どうして防げなかったのか」
「規則はどうなっていたのか」
「影響範囲はどこまでか」
「責任者からの説明はあるのか」
といった質問が、ほぼ間違いなく投げかけられるでしょう。
読者の皆さんはこれらの質問に対してスムーズに応対可能でしょうか。例えば、攻撃者に自組織のデータが暗号化されてしまい、元に戻したければお金を支払えと要求され、更に、払わなければそのデータを公開すると脅迫されたとしましょう。いわゆる、多重脅迫型ランサムウェア攻撃です。
「どうして防げなかったのか」
「規則はどうなっていたのか」
「影響範囲はどこまでか」
「責任者からの説明はあるのか」
といった質問が、ほぼ間違いなく投げかけられるでしょう。
読者の皆さんはこれらの質問に対してスムーズに応対可能でしょうか。例えば、攻撃者に自組織のデータが暗号化されてしまい、元に戻したければお金を支払えと要求され、更に、払わなければそのデータを公開すると脅迫されたとしましょう。いわゆる、多重脅迫型ランサムウェア攻撃です。
そのスピードが左右する「非常時の体制構築」と「影響範囲の特定」
ここで最初に行うことは、非常時の体制を速やかに構築することです。そして、被害の影響範囲を特定しましょう。
この時、組織の中に情報がうまく伝わらなかったらどうなるでしょうか。体制構築後、暗号化されているデータの範囲を特定することになりますが、どこに何のデータがあるのか、攻撃者はどこから侵入してきたのかということが分からなかったらどうなるでしょうか。
この時、組織の中に情報がうまく伝わらなかったらどうなるでしょうか。体制構築後、暗号化されているデータの範囲を特定することになりますが、どこに何のデータがあるのか、攻撃者はどこから侵入してきたのかということが分からなかったらどうなるでしょうか。
対応が遅れ、組織内の混乱が長引くだけでなく、取引先やメディアなどからの前述のような質問にも応えられず、社会からの批判の声が一層大きくなってしまいます。
サイバー攻撃による社会的批判の大きさについては、自然災害のそれよりも厳しいものになると筆者は考えています。被害範囲を確定後、身代金を支払うか否かについて経営層が判断し、システムの再構築に取り掛かる流れとなります。
サイバー攻撃による社会的批判の大きさについては、自然災害のそれよりも厳しいものになると筆者は考えています。被害範囲を確定後、身代金を支払うか否かについて経営層が判断し、システムの再構築に取り掛かる流れとなります。
できていますか?情報資産の「整理」と「把握」
ここで重要なポイントは、非常時の体制を速やかに構築できることに加えて、組織の中にある情報資産を明確にしておくことになります。そのため、非常時の体制はその確立の手順も含めて事前に決めておきましょう。
また、情報資産については、重要度の観点からいくつかの機密レベルに分けて整理しておくと良いでしょう。
合わせて整理するアクセス権や保管場所、保存期間などを設定しやすくなります。情報資産は最終的に台帳として管理することとなりますが、IPAが公開している「中⼩企業の情報セキュリティ対策ガイドライン」*3を活⽤しながら整理すると進めやすいと思いますよ。
今回は、非常時の体制を事前に決めておくことと、重要度に応じて情報資産を整理しておくことについてお話ししました。次回のコラムでは、セキュリティ対策を講じる際の考え方やツール/サービスについて解説を予定していますので、どうぞお楽しみに!
また、情報資産については、重要度の観点からいくつかの機密レベルに分けて整理しておくと良いでしょう。
合わせて整理するアクセス権や保管場所、保存期間などを設定しやすくなります。情報資産は最終的に台帳として管理することとなりますが、IPAが公開している「中⼩企業の情報セキュリティ対策ガイドライン」*3を活⽤しながら整理すると進めやすいと思いますよ。
今回は、非常時の体制を事前に決めておくことと、重要度に応じて情報資産を整理しておくことについてお話ししました。次回のコラムでは、セキュリティ対策を講じる際の考え方やツール/サービスについて解説を予定していますので、どうぞお楽しみに!
- ランサムウェア攻撃:コンピュータウイルスの一種。保存されているデータが暗号化されて利⽤不可となります。これを復旧することと引き換えに金銭の支払いを要求されます。また、暗号化前に重要情報が盗まれ、金銭を支払わなければそれを公開すると脅迫されることもあります。
- サプライチェーン:商品や製品が消費者の手元に届くまでの、調達、製造、在庫管理、配送、販売、消費といった⼀連の流れのことです。
- https://www.ipa.go.jp/security/guide/sme/about.html
【記事執筆者】
酒井 正幸
中小機構 中小企業アドバイザー
通信会社にて事業戦略部門でセキュリティ研修やDX関連業務に従事後、独立。資格応用情報技術者、米国PMI®認定PMP、企業経営アドバイザー。AI・IoTマスターコンサルタント、共通EDI推進サポータ、キャリアコンサルタント、AFP、ビジネス統計スペシャリスト他
中小機構 中小企業アドバイザー
通信会社にて事業戦略部門でセキュリティ研修やDX関連業務に従事後、独立。資格応用情報技術者、米国PMI®認定PMP、企業経営アドバイザー。AI・IoTマスターコンサルタント、共通EDI推進サポータ、キャリアコンサルタント、AFP、ビジネス統計スペシャリスト他
