ページの本文へ

Hitachi

情報漏洩防止ソリューション 秘文

情報漏洩防止ソリューション 秘文 サイバーセキュリティ時代に考えるべき
経営リスクとBCP策定

サイバーセキュリティ時代に考えるべき経営リスクとBCP策定

IT技術の活用は、この時代の企業活動において避けられないものとなりました。しかし同時に、セキュリティの穴を狙ったサイバー攻撃も急速に拡がりを見せています。今回はサイバーセキュリティの時代に考えるべき経営リスクと、その盾となるBCP策定の重要性を考えていきましょう。

サイバーセキュリティ経営ガイドラインの概要

経済産業省と独立行政法人情報処理推進機構(IPA)が、共同で「サイバーセキュリティ経営ガイドライン」を策定しています。IoT技術の普及やグローバル化によって、さらなるIT技術の活用が進んでおり、ITシステムのセキュリティ対策も必要不可欠なものとなってきました。しかし、対策が不十分でサイバー攻撃被害を受ける事例も出ています。サイバー攻撃の増加や手口も巧妙化していることが、ガイドライン策定の背景として挙げられるでしょう。
このガイドラインは経営戦略において、IT技術の活用が欠かせない企業に対するセキュリティ対策の推進を目的としたもの。そのうえで、経営者が認識する必要のある「3原則」と、経営者が情報セキュリティ対策を実施するうえで責任者となる担当幹部(CISOなど)に指示すべき「重要10項目」をまとめています。

  • <3原則>※
  • 1.経営者のリーダーシップが必要
  • 2.自社以外(ビジネスパートナーなど)に対するセキュリティ対策も必要
  • 3.平時からの情報開示、関係者との適切なコミュニケーションが必要
  • <重要10項目>※
  • 1.対応方針策定
  • 2.リスク管理体制の構築
  • 3.資源(予算・人材など)の確保
  • 4.リスクの把握と対応計画策定
  • 5.保護対策(防御・検知・分析)の体制構築
  • 6.計画を実施し、改善していくためのPDCAサイクルの実施
  • 7.緊急対応体制の整備
  • 8.復旧体制の整備
  • 9.サプライチェーン全体の対策および状況把握
  • 10.サイバー攻撃に関する積極的な情報提供および入手
  • ※「サイバーセキュリティ経営ガイドライン」から一部変更して引用しています。

このガイドラインは2017年11月に改訂されており、攻撃を早期に検知する仕組みの整備や、BCPと連携してインシデント発生時の復旧目標を定める、などの内容が新たに追加され、より幅広い対応を求める内容となっています。
また、ガイドラインの中ではセキュリティ対策の実施を「コスト」と捉えるのではなく、将来の事業活動・成長に必須なものと位置づけて「投資」と捉えることが重要とされています。さらに、セキュリティ投資は必要不可欠かつ経営者としての責務であることも特に注記されており、社会的責任を持つ企業への意識改革を促すものとなっているのです。

サイバー攻撃に伴う経営リスクは?

それでは、企業経営におけるサイバー攻撃によるリスクを考えてみましょう。サイバー攻撃は年々高度化・巧妙化してきており、サイバー攻撃によって純利益の半分以上を失う企業が出るなど、深刻な影響を引き起こす事件が発生しています。

IPAが発表した「情報セキュリティ10大脅威2018(組織編)」では、標的型攻撃が第1位、ランサムウェアが第2位となっており、引き続き被害が発生しています。

こういった攻撃を受けた場合、通常の業務に支障をきたすだけでなく、個人情報など重要な情報の漏洩やシステム破壊など、事業の存続に関わる大きな被害が発生します。
適切なセキュリティ投資・対策を行わずに被害が発生してしまえば、セキュリティ対策の在り方、経営責任や法的責任が問われる可能性が考えられます。また被害発生後、早期に原因究明し適切な対応を行うことで、被害の拡大と再発を防ぐことも非常に重要です。被害を防ぐためのセキュリティ対策はもちろん、被害発生後の対応次第では、企業の社会的な信用を失墜させることもあり得るのです。

サイバーセキュリティ時代の
BCPの重要性

社会的に問題となり、報道にも繋がるセキュリティ事故も多く起きています。こうしたセキュリティ事故は、業種・企業規模に関わらず起こり得るリスクとして、深く考えるべきでしょう。

そこで重要になってくるのが、「BCP(Business continuity plan:事業継続計画)」の策定です。これまで企業が取り組んできたBCPというと、地震などの自然災害や感染症のパンデミック(世界的流行)などに限られていました。しかし、サイバー攻撃も、事業の存続に関わる大変な事態です。サイバー攻撃の場合、災害・パンデミックと違い被害の発生に気付きにくく、復旧前に原因調査が必要であるなど、従来のBCPとは異なる対応が求められるため、違いを考慮したBCPが必要です。

またサイバー攻撃の場合、事前の対策によりリスクの低減が可能です。リスク分析によるセキュリティ対策の実施のほか、ネットワーク監視によるインシデントの早期発見、CSIRTなど専門の調査部隊による迅速な原因究明や、そのための体制構築も必要です。被害を低減しつつ事業を継続するための事前計画と本番に向けた準備が、BCP策定の意義であると言えるでしょう。

まとめ

サイバーセキュリティ経営ガイドラインの概要に加え、いくつかポイントを抜粋して解説してきました。IT技術の活用においてセキュリティ対策は「コスト」ではなく、企業の社会的な責任です。自社は関係ないといった意識を捨て、経営リスクとして対策を行いましょう。
その備えのひとつとして、BCP策定の重要性をご紹介しました。自然災害への対策がよく取り上げられますが、サイバー攻撃が多様化している今、サイバー攻撃を想定したBCPの必要性が高まっています。万が一の事態が起きる前から、企業として対策を講じていく必要があるのではないでしょうか。

この記事に関連するおすすめの秘文機能

おすすめの秘文機能を紹介したカタログ

おすすめの秘文機能を紹介したカタログ ダウンロード
カタログダウンロード

おすすめコラム

ページの上部へ
ページの上部へ