2020 年 04 月 22 日
サイバー空間に潜む経営課題とリスク
世界中で新型コロナウィルス感染の脅威が高まる中、我々の生活や企業活動において様々な変化が日々起こっています。特に企業においてもテレワークなどを含めた働き方の抜本的な改革が進められていく中、セキュリティに対する取り組みにおいても時代にあった新しい対策が求められてきています。
このような大きな変化に確実に対応していくためには、経営層がリードをして、組織全体として取り組む動きが必要となります。経営課題として、セキュリティ対策にどのように取り組むことが求められるでしょうか。
新型コロナウィルス感染の流行と情報セキュリティ
昨今の新型コロナウィルスの流行と、それによる社会的混乱に乗じて様々なサイバー攻撃が世界中で活発化しています。グローバルセキュリティ企業のレポートでも、この混乱を利用した標的型攻撃によるマルウェアの拡散等が各地で確認されています。日本においても、マスクの無料配布をうたったフィッシングメールの送信など、生活者の不安につけこむ悪質な攻撃が多数報告されています。
また、感染拡大防止や活動自粛により業務形態にテレワークを取り入れる企業も増加しており、重要情報の取り扱い方法の管理や外部からの安全なアクセスなどのセキュリティ対策の必要性も急速に叫ばれています。
※テレワークの情報セキュリティ対策については別の記事で触れていますので、そちらも合わせてご覧ください。
このようなセキュリティリスクの放置により、万が一重要情報の漏洩事故などが起こった場合、高額な制裁金の支払いなどの直接的損害だけではなく、風評被害を含む企業価値やブランド価値の毀損など、社会活動を継続する上での重大なダメージを追うことになってしまいます。
海外の事例でも米 Facebook が個人情報の漏洩により 5,400 億円の制裁金を課されるなど、企業活動の存続に関わる金額の損害を被っています。
このような情報セキュリティにおける脅威が急速に高まる中、情報セキュリティはもはや IT 部門だけの課題ではなく、組織全体としての意識の改革をはじめ、CSIRT 体制の確立といった、経営層が取り組むべき経営課題となっているといえます。
経営課題における説明責任とリスク
こうした混乱の中、多くの日本企業が株主総会を控えています。企業の経営層には、経営課題や事業継続の観点から、社内外のステークホルダーに対し、これまでの経営におけるリスク対策に加え、情報セキュリティに対する取り組みについて透明性の証明や説明責任が求められます。
財務等の監査と同様に、情報セキュリティにおける監査や診断/検査については既存のシステムベンダーとは異なる第三者による客観的な実施が、先進的な企業において行われ始めてます。日本でも、セキュリティ監査に厳しい金融においては、マネックスグループが第三者による監査によるサイバーセキュリティ対策 に取り組まれております。
また、企業内のシステムや体制におけるセキュリティ対策だけではなく、様々な情報がやり取りされる SNS、さらにはダークウェブなどにおける自社への攻撃予兆の検知や、機密情報やブランド等の不正利用の発見・阻止など、自社がコントロールできない環境における情報セキュリティ対策も必要になり始めています。
最近、実際に起きた事例としては、Zoom のユーザーアカウントの情報漏洩があります。オンラインビデオ会議ツール Zoom のユーザーアカウントが 50 万人分がダークウェブを通じて販売されていた と明らかになりました。
これらの原因は、すでに情報漏洩を起こしていた(盗まれた)アカウント情報をもとにしたクレデンシャルスタッフィングを利用した攻撃だといわれています。
企業としては、ダークウェブに流出している情報を検知することによって、早期に問題に対する解決方法を検討することが可能となります。このスピード感が企業のリスクを最小限に留めることへと繋がります。
このように企業経営に対して、組織・体制における対策に加え、ダークウェブを含むサイバー空間における脅威に対しても対策が求められております。
『サイバーセキュリティ経営診断サービス』について
サイバートラストは、アスピレイション株式会社と提携し、イスラエル国防レベルの技術と診断視点を用いた最先端のソリューションを活用した「サイバーセキュリティ経営診断サービス」を提供開始いたしました。
本サービスは、企業のサイバーセキュリティ対策と組織のセキュリティマネジメント体制の強化・透明性確保を実現し、事業継続性の向上を支援します。
また、昨今の緊急事態において、混乱に乗じたサイバー攻撃が増加傾向にあります。これに伴い、リモート環境下で実施できるサイバーセキュリティ経営診断サービス、「リモートワーク環境 緊急セキュリティ診断」の提供を開始いたしました。
企業経営においては、いかなる緊急事態であってもセキュリティ対策は責務です。この機会に是非ともご検討ください。
サイバートラストでは、上記でご説明した内容に加え、コンサルティングから具体的な脆弱性診断まで、お客様のニーズに合わせたサービスのご提供が可能です。是非一度ご相談ください。