組織的なセキュリティ強化に求められること
日本年金機構はセキュリティ業務に対しての統制や組織的な対応の不備が指摘されたのを受け、セキュリティの専門機関との契約を検討すると報告しています。これは日本年金機構だけでなく、日本の組織や企業でも抱えている課題です。
セキュリティは組織や企業が持つ重要な知的財産を守り、事業を安定的に継続するうえで欠かせない経営課題であるため、経営層による主体的な判断が求められます。海外では十分なセキュリティ予算が確保され、主体的かつ積極的に取り組んでいる組織が多いと感じます。
そのような組織は、必要に応じてセキュリティの専門機関やパートナー会社からアドバイスを得つつ、セキュリティ責任者は内部の状況を把握し、セキュリティ対策やインシデント発生時の対応や指示が主体的にできるのです。
もちろん、日本の中にも十分に対策している組織や企業はありますが、一方でサイバー攻撃が増加するなかで、どこから対策の手を付ければ良いかわからないといった話もよく聞きます。その場合、何の情報(データ)を守る必要があり、その情報がどこに保存されているのかということを改めて整理し、その中で起こり得るセキュリティリスクと必要な対策を検討することで優先度をつけやすくなります。
例えば日本年金機構であれば、定期的な業務フローを見直して、データの取り扱い方法をチェックし、運用の都合によるセキュリティリスクを認識、運用方法の見直しや端末のセキュリティの保護を検討及び対応することで、今回の事件を未然に防げた可能性があります。
日本年金機構の報告書のなかでは、多重防御体制を整備して入り口対策、内部対策、出口対策を強化することが書かれている一方、詳細な方法までは今回は触れられていません。ここからは、日本年金機構の報告書の内容も交えつつ現時点で組織や企業が取るべき有効なセキュリティ対策について解説します。