とかく話題になりがちな大企業のセキュリティインシデントですが、実は、中堅・中小規模の企業においても、断続的に発生しています。サイバー攻撃のトレンドが、大企業のみならず、そのグループ企業や取引先まで含めた「サプライチェーン全体」を標的とするようになっているためです。
2019年6月だけでも、例えばECサイトで決済画面が改ざんされたり、不正アクセスを受けるなどして、クレジットカードの名義やカード番号、有効期限、セキュリティコードが盗まれたというインシデントが発生しています。
限られた予算や人的リソースの中で、企業はセキュリティ対策にどう取り組むべきなのでしょうか。大規模企業からサプライチェーンを構成する中堅・中小企業に対して多くのネットワークとセキュリティ対策のコンサルティングを行っている、NTTコミュニケーションズ(以下、NTT Com)の松原岳夫氏が解説します。
「担当者は1人だけ…」セキュリティ対策の現実と問われる企業責任
企業が十分なセキュリティ対策を行うためには、まず人的リソースの問題があると、松原氏は指摘します。
「特に、サプライチェーンを構成する中堅・中小企業の場合、情報システム部門自体が少人数で、セキュリティ担当者は1人だけ、あるいは他の業務と兼務しているといったケースが少なくありません。しかもセキュリティ担当者に求められる業務は多岐に渡ります。インシデントが発生したときの対応はもちろん、セキュリティ機器のアップデート作業をはじめ、各種機器から出力されるログのチェックなど恒常的な業務対応も欠かせません。これらをすべて1人で対応するのは不可能に近いと言ってもいいでしょう」
このように、情報システム部門のセキュリティ対策は難しい状況にありますが、松原氏は企業の経営層は、セキュリティ対策は経営責任であるという認識を持つべきだと強く警鐘を鳴らします。
「経済産業省が公開している“サイバーセキュリティ経営ガイドライン Ver 2.0”には、“サイバーセキュリティは経営問題”だとはっきりと記載されています。その上で、“サイバーセキュリティリスクの認識、組織全体での対応方針の策定”や“サイバーセキュリティ対策のための資源(予算、人材等)確保”といった企業に対する“指示”が明文化されています」
同文書の中では、自社だけでなくビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要と記載されています。松原氏はここにも注目すべきだと指摘します。
「自社のセキュリティ対策の不備が、サプライチェーン全体に大きな影響を及ぼす可能性があります。場合によっては莫大な賠償金が求められる可能性もあり、決しておろそかにはできないでしょう。しかしながら、セキュリティ対策には相応のコストがかかります。セキュリティ人材がいなければ、限られた予算の中で何を対策すべきかの判断もできません」
そこで検討すべきなのが、クラウド型セキュリティサービスの一元提供の積極的な活用です。
クラウド型セキュリティサービスの一元提供がベスト、しかし課題が…… 続きを読む