IT技術の活用は、この時代の企業活動において避けられないものとなりました。しかし同時に、セキュリティの穴を狙ったサイバー攻撃も急速に拡がりを見せています。今回はサイバーセキュリティの時代に考えるべき経営リスクと、その盾となるBCP策定の重要性を考えていきましょう。

経済産業省と独立行政法人情報処理推進機構（IPA）が、共同で「サイバーセキュリティ経営ガイドライン」を策定しています。IoT技術の普及やグローバル化によって、さらなるIT技術の活用が進んでおり、ITシステムのセキュリティ対策も必要不可欠なものとなってきました。しかし、対策が不十分でサイバー攻撃被害を受ける事例も出ています。サイバー攻撃の増加や手口も巧妙化していることが、ガイドライン策定の背景として挙げられるでしょう。
このガイドラインは経営戦略において、IT技術の活用が欠かせない企業に対するセキュリティ対策の推進を目的としたもの。そのうえで、経営者が認識する必要のある「3原則」と、経営者が情報セキュリティ対策を実施するうえで責任者となる担当幹部（CISOなど）に指示すべき「重要10項目」をまとめています。 ＜3原則＞^※

＜重要10項目＞^※

※「サイバーセキュリティ経営ガイドライン」から一部変更して引用しています。
このガイドラインは2023年3月に、6年ぶりに再改定されました。テレワークなど働き方の改革や、ランサムウェアによる被害の顕在化、サプライチェーンを介したサイバーセキュリティ関連被害の拡大などを踏まえた改訂となっています。また、2019年に独立行政法人 情報処理推進機構（IPA）が公開した、重要10項目を実践する際に参考となる考え方やヒントを事例を交えて記載している「サイバーセキュリティ経営ガイドライン Ver 2.0 実践のためのプラクティス集」についても、2023年3月に第3版が公開されています。
また、ガイドラインの中ではセキュリティ対策の実施を「コスト」と捉えるのではなく、将来の事業活動・成長に必須なものと位置づけて「投資」と捉えることが重要とされています。さらに、セキュリティ投資は必要不可欠かつ経営者としての責務であることも特に注記されており、社会的責任を持つ企業への意識改革を促すものとなっているのです。

それでは、企業経営におけるサイバー攻撃によるリスクを考えてみましょう。サイバー攻撃は年々高度化・巧妙化してきており、サイバー攻撃によって純利益の半分以上を失う企業が出るなど、深刻な影響を引き起こす事件が発生しています。 IPAが発表した「情報セキュリティ10大脅威2023（組織編）」では、ランサムウェアによる被害が第1位、標的型攻撃による機密情報の窃取が第3位となっており、引き続き被害が発生しています。 こういった攻撃を受けた場合、通常の業務に支障をきたすだけでなく、個人情報など重要な情報の漏洩やシステム破壊など、事業の存続に関わる大きな被害が発生します。
適切なセキュリティ投資・対策を行わずに被害が発生してしまえば、セキュリティ対策の在り方、経営責任や法的責任が問われる可能性が考えられます。また被害発生後、早期に原因究明し適切な対応を行うことで、被害の拡大と再発を防ぐことも非常に重要です。被害を防ぐためのセキュリティ対策はもちろん、被害発生後の対応次第では、企業の社会的な信用を失墜させることもあり得るのです。

社会的に問題となり、報道にも繋がるセキュリティ事故も多く起きています。こうしたセキュリティ事故は、業種・企業規模に関わらず起こり得るリスクとして、深く考えるべきでしょう。 そこで重要になってくるのが、「BCP（Business continuity plan：事業継続計画）」の策定です。これまで企業が取り組んできたBCPというと、地震などの自然災害や感染症のパンデミック（世界的流行）などに限られていました。しかし、サイバー攻撃も、事業の存続に関わる大変な事態です。サイバー攻撃の場合、災害・パンデミックと違い被害の発生に気付きにくく、復旧前に原因調査が必要であるなど、従来のBCPとは異なる対応が求められるため、違いを考慮したBCPが必要です。 またサイバー攻撃の場合、事前の対策によりリスクの低減が可能です。リスク分析によるセキュリティ対策の実施のほか、ネットワーク監視によるインシデントの早期発見、CSIRTなど専門の調査部隊による迅速な原因究明や、そのための体制構築も必要です。被害を低減しつつ事業を継続するための事前計画と本番に向けた準備が、BCP策定の意義であると言えるでしょう。

サイバーセキュリティ経営ガイドラインの概要に加え、いくつかポイントを抜粋して解説してきました。IT技術の活用においてセキュリティ対策は「コスト」ではなく、企業の社会的な責任です。自社は関係ないといった意識を捨て、経営リスクとして対策を行いましょう。
その備えのひとつとして、BCP策定の重要性をご紹介しました。自然災害への対策がよく取り上げられますが、サイバー攻撃が多様化している今、サイバー攻撃を想定したBCPの必要性が高まっています。万が一の事態が起きる前から、企業として対策を講じていく必要があるのではないでしょうか。

「可視化」、「分析・評価」、「対策」の3つのステップで、侵入、被害拡大の主な原因となる脆弱性や、セキュリティ設定の不備がない状態を常に維持できるよう、エンドポイントを自律的にコントロールします。

安全性が確認できるプログラムのみ、機密データやOS管理領域にアクセスを許可します。
ランサムウェアなど不正なプログラムに窃取や破壊されることを防止します。