(1)方針・組織体制の整備
サイバー攻撃への対応をはじめとする情報セキュリティが経営として重要であることを、「セキュリティポリシー」を策定するなどして、明示することが不可欠である。
また、各種の対策を円滑に進めていく上で、専任組織または専任者を設けるといった組織体制の整備も重要となる。専任組織等の設置が難しい場合、少なくとも対策を立案・推進する責任者を明確にしておくことが必要である。
(2)予防
サイバー攻撃の予防のポイントとなるのは「マルウェアを組織内に入れない」こと、「組織内に入れてもマルウェアを活動させない」ことの2点である。
サイバー攻撃の予防のポイント
(3)被害低減
サイバー攻撃の手段は日々進化しているため、あらゆる攻撃手段に対して先回りして予防することは困難であり、予防のみでは十分とはいえない。いかにして、攻撃を受けた際に迅速に対応し、被害を最小限に抑えるかが重要になる。そのためにも、サイバー攻撃を受けたときの緊急対応の手順を定め、研修・訓練によって役職員に浸透させることが望まれる(緊急対応の標準的な手順は下図の通り)。
特にポイントとなるのは、攻撃が疑われた段階で社内報告・初動対応を開始することである。
緊急対応の標準的な手順
また、緊急対応を行う組織であるCSIRT(Computer Security Incident Response Team) を整備する企業も増えている。もっとも、いかに手順や組織を整備しても、従業員がこれに従って、行動できなければ意味がない。そこで、CSIRTまたは周辺の要員を対象とした訓練を定期的に実施することが望まれる。
おわりに
従来、サイバー攻撃は大企業や政府機関などが多く狙われてきた。しかしながら、近年は大企業の取引先である中小企業を攻撃し、そこを踏み台にして大企業の情報を不正に入手する方法も広がっている。
事業規模を問わず、企業のIT活用度、業種などによっては、サイバー攻撃対策を十分に検討する必要がある。システム改修等、より高度な対策が必要と思われる場合には、専門業者に相談することが望まれる。
- 株式会社インターリスク総研 事業リスクマネジメント部 統合リスクマネジメントグループ 上席コンサルタント 大和田 勝
- 2008年にインターリスク総研に入社 情報管理、リスクマネジメント、BCPに関する企業等への支援に従事
