サイバー保険

経産省のサイバーセキュリティ経営ガイドラインが示す、中小企業に必要な対策 - (page 4)

大和田勝

2016-08-10 07:00

(1)方針・組織体制の整備

 サイバー攻撃への対応をはじめとする情報セキュリティが経営として重要であることを、「セキュリティポリシー」を策定するなどして、明示することが不可欠である。

 また、各種の対策を円滑に進めていく上で、専任組織または専任者を設けるといった組織体制の整備も重要となる。専任組織等の設置が難しい場合、少なくとも対策を立案・推進する責任者を明確にしておくことが必要である。

(2)予防

 サイバー攻撃の予防のポイントとなるのは「マルウェアを組織内に入れない」こと、「組織内に入れてもマルウェアを活動させない」ことの2点である。

サイバー攻撃の予防のポイント
サイバー攻撃の予防のポイント

(3)被害低減

 サイバー攻撃の手段は日々進化しているため、あらゆる攻撃手段に対して先回りして予防することは困難であり、予防のみでは十分とはいえない。いかにして、攻撃を受けた際に迅速に対応し、被害を最小限に抑えるかが重要になる。そのためにも、サイバー攻撃を受けたときの緊急対応の手順を定め、研修・訓練によって役職員に浸透させることが望まれる(緊急対応の標準的な手順は下図の通り)。

 特にポイントとなるのは、攻撃が疑われた段階で社内報告・初動対応を開始することである。

緊急対応の標準的な手順
緊急対応の標準的な手順

 また、緊急対応を行う組織であるCSIRT(Computer Security Incident Response Team) を整備する企業も増えている。もっとも、いかに手順や組織を整備しても、従業員がこれに従って、行動できなければ意味がない。そこで、CSIRTまたは周辺の要員を対象とした訓練を定期的に実施することが望まれる。

おわりに

 従来、サイバー攻撃は大企業や政府機関などが多く狙われてきた。しかしながら、近年は大企業の取引先である中小企業を攻撃し、そこを踏み台にして大企業の情報を不正に入手する方法も広がっている。

 事業規模を問わず、企業のIT活用度、業種などによっては、サイバー攻撃対策を十分に検討する必要がある。システム改修等、より高度な対策が必要と思われる場合には、専門業者に相談することが望まれる。

株式会社インターリスク総研
事業リスクマネジメント部 統合リスクマネジメントグループ
上席コンサルタント 大和田 勝
2008年にインターリスク総研に入社
情報管理、リスクマネジメント、BCPに関する企業等への支援に従事

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]