このようにサイバー攻撃が頻繁に発生し、それらを検知して防御することが難しくなっている状況において、どのようにリスクマネジメントを行うべきでしょうか。この点について竹内氏は、3つのステップで対策を進めていくべきだと話しました。

リスクマネジメントの強化ポイント”1.2.3.”

　「1つ目のステップは社内体制の整備です。具体的には、各々のシステムのライフサイクルなどに合わせて、セキュリティのチェックポイントをしっかり作っていくことです。何十、何百というシステムがあり、それらを管理するIT担当者も複数存在する。そのような状況の中でも、システムの種類や管理者のスキルにかかわらず、一定レベルのセキュリティを保つことができる。そのようにセキュリティのチェックポイントを構造化し、体制を整えることが最初のステップになります」

　2つ目のステップとして竹内氏が挙げたのはCSIRTの構築です。CSIRTとは、マルウェア感染やサーバーへの不正アクセスといったインシデントが発生した際に、その調査を行う組織であり、昨今設立する企業が増加しています。このCSIRTの運用においては、「警察署ではなく消防署になることが重要」と竹内氏は説きました。

　「何かあったとき、社員の方々が電話を掛けにくいところでは駄目なのです。何かちょっと危険を察知したとき、110番にはかけにくいですよね。でも、小火（ぼや）が出たときに119番にかけることはあまりためらわないのでは。警察ではなく消防署のような存在となり、何かあったときにすぐに通報してもらえる、そういった体制やプロセスの作り方がCSIRTを成功させる大きな秘訣です」

リスクマネジメント体制におけるCSIRTの位置づけ

　またCSIRTのメンバーに求められる素養として「業務を理解していて、さらに会社の事業継続において何が必要か、リスクは何かということを熟知し、さらに技術面の統制がある程度できる人」とした上で、「CSIRTのメンバーがログを分析する必要はない」と話し、「サイバー攻撃を検知し防御する技術は日々進化しているため、そのような部分はアウトソーシングするなど、体制を整えていくことが重要」としました。

　そして3つ目のポイントとなるのが、情報セキュリティガバナンスのグループ全体への展開です。この際に大切なのが尺度を持つことで、情報セキュリティガバナンスの成熟度モデルに基づき、人と組織、技術のそれぞれの視点で現状を把握することができれば、グループ全体のセキュリティレベル向上につなげられるでしょう。

　最後に竹内氏が語ったのは、セキュリティ共通基盤を作ることのメリットです。

　「攻撃者はセキュリティレベルの低い拠点や子会社を狙って攻撃を仕掛けて踏み台とし、本丸、つまりセキュリティレベルが高い本社にある情報を盗み出します。その対策としては、グループ全体を守るセキュリティ共通基盤を作ることが挙げられます。これは決して難しい話ではなく、単にプロキシサーバーを立てて、グループ会社の従業員がインターネットにアクセスする際に必ず経由するようにしておくわけです。このプロキシサーバーのログを分析すれば多くの脅威を検知できるほか、そこで得られた情報を共有することで組織間をまたいだ連携防御にもつながります。こういった形を整えることができれば、事故が起きてもすぐに検知できて、必要なアクションを即座に実行できる、対応能力の高いセキュリティ対策になるでしょう」

グループ経営を守るノウハウ共有と連携防御

　セキュリティ対策は直接ベネフィットを生み出すものではありませんが、一方でサイバー攻撃を受ければ大きな金銭的損失が生じるのも事実です。地震や洪水などといった災害対策と同様、セキュリティ対策もリスクマネジメントの一環であると捉え、事業継続のために何をすべきかをあらためて考えてみましょう。

※掲載されている内容は公開日時点のものです。
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります。