「情報セキュリティ白書2023」はご存知ですか？

早速ですが、去る7⽉25⽇に、独⽴⾏政法⼈情報処理推進機構(IPA)から「情報セキュリティ⽩書2023」が発⾏されているのをご存知でしょうか。そこには中⼩企業向け情報セキュリティ⽀援策や情報セキュリティインシデントの現状及び対策、関連組織の取組み状況など、情報セキュリティに関する有益な情報が多く記載されています。

とりわけ、最近よく話題に上がる”ランサムウェア攻撃”^*1 についても取り上げられています。

そこでは、攻撃の⼿⼝が複雑・巧妙化していることや組織の業種や規模も問わず広範に及んでいることで、サプライチェーン^*2全体でのセキュリティ対策も重要だと警告しています。印刷書籍は有料ですが、PDF 版は無料でダウンロードできますのでご⼀読されることをお勧めします。また、(独)中⼩企業基盤整備機構が提供する経営相談チャットサービス「E-SODAN」(https://bizsapo.smrj.go.jp/)でも情報セキュリティを取り扱っていますので、合わせてご紹介します。

インシデント発生から逆算するセキュリティ対策

ここから前回コラムの続きをお話しします。

前回ご紹介しましたセキュリティの取り組み⽅の⼀つに、セキュリティインシデントの発⽣を想定し、そこから逆算的にセキュリティ対策を考えるという⽅法がありました。
この取り組み⽅法は、本コラムの原点である事業継続⼒強化計画の策定に当たってピッタリの⼿法だと思っています。

取引先から「影響範囲はどこまでか？」と聞かれたら・・・

さて、ひとたびセキュリティ事故を起こしてしまうと、取引先やメディアなどから
「どうして防げなかったのか」
「規則はどうなっていたのか」
「影響範囲はどこまでか」
「責任者からの説明はあるのか」
といった質問が、ほぼ間違いなく投げかけられるでしょう。

読者の皆さんはこれらの質問に対してスムーズに応対可能でしょうか。例えば、攻撃者に⾃組織のデータが暗号化されてしまい、元に戻したければお⾦を⽀払えと要求され、更に、払わなければそのデータを公開すると脅迫されたとしましょう。いわゆる、多重脅迫型ランサムウェア攻撃です。

そのスピードが左右する「非常時の体制構築」と「影響範囲の特定」

ここで最初に行うことは、非常時の体制を速やかに構築することです。そして、被害の影響範囲を特定しましょう。

この時、組織の中に情報がうまく伝わらなかったらどうなるでしょうか。体制構築後、暗号化されているデータの範囲を特定することになりますが、どこに何のデータがあるのか、攻撃者はどこから侵⼊してきたのかということが分からなかったらどうなるでしょうか。

対応が遅れ、組織内の混乱が⻑引くだけでなく、取引先やメディアなどからの前述のような質問にも応えられず、社会からの批判の声が⼀層⼤きくなってしまいます。

サイバー攻撃による社会的批判の⼤きさについては、⾃然災害のそれよりも厳しいものになると筆者は考えています。被害範囲を確定後、⾝代⾦を⽀払うか否かについて経営層が判断し、システムの再構築に取り掛かる流れとなります。

できていますか？情報資産の「整理」と「把握」

ここで重要なポイントは、⾮常時の体制を速やかに構築できることに加えて、組織の中にある情報資産を明確にしておくことになります。そのため、⾮常時の体制はその確⽴の⼿順も含めて事前に決めておきましょう。

また、情報資産については、重要度の観点からいくつかの機密レベルに分けて整理しておくと良いでしょう。

合わせて整理するアクセス権や保管場所、保存期間などを設定しやすくなります。情報資産は最終的に台帳として管理することとなりますが、IPAが公開している「中⼩企業の情報セキュリティ対策ガイドライン」^*3を活⽤しながら整理すると進めやすいと思いますよ。

今回は、⾮常時の体制を事前に決めておくことと、重要度に応じて情報資産を整理しておくことについてお話ししました。次回のコラムでは、セキュリティ対策を講じる際の考え⽅やツール/サービスについて解説を予定していますので、どうぞお楽しみに！

*1 ランサムウェア攻撃：コンピュータウイルスの⼀種。保存されているデータが暗号化されて利⽤不可となります。これを復旧することと引き換えに⾦銭の⽀払いを要求されます。また、暗号化前に重要情報が盗まれ、⾦銭を⽀払わなければそれを公開すると脅迫されることもあります。

*2 サプライチェーン：商品や製品が消費者の⼿元に届くまでの、調達、製造、在庫管理、配送、販売、消費といった⼀連の流れのことです。

*3 https://www.ipa.go.jp/security/guide/sme/about.html