脱IT初心者「社長の疑問・用語解説」(第81回)
成功するポイント?アクセスポイント
公開日:2021.12.21
経済産業省が策定した「セキュリティ経営ガイドライン」で、経営者が社内に対して指示すべきポイントとして示された「重要10項目」。今回は5番目の項目「サイバーセキュリティリスクに対応するための仕組みの構築」について解説する。
経済産業省と独立行政法人情報処理推進機構(IPA)が共同で策定した「サイバーセキュリティ経営ガイドライン Ver2.0」では、企業のIT活用を推進する上で経営者が認識すべきサイバーセキュリティに関する原則や、経営者がリーダーシップをもって取り組むべき項目がまとめられている。
企業が直面するさまざまな形態、手法のサイバーセキュリティリスクに対応するためには、万一のインシデント発生に備え、日ごろから十分対策を講じておく必要がある。リスクに応じた適切な対応が行われない場合、サイバー攻撃の被害は急激に拡大し、結果として業務停止や信用失墜といった深刻なダメージをもたらすことになるのは明らかだ。今回は具体的な対策の内容と、技術・運用両面での取り組みについて解説する。
サイバーセキュリティリスクから企業を守るための対策は、大きく「防御・検知・分析」の3種類に分けられる。まず防御の部分では、時を選ばず、さまざまな方法で企業のシステムに襲いかかるサイバー攻撃に備え、被害を最小限に抑えることのできる強靱(きょうじん)な「守り」を固めておく必要がある。
検知の部分では、日常の業務で生じる小さな事象からサイバー攻撃の発生、もしくは今後の攻撃につながる可能性をいち早く察知することがポイントだ。実際に、発見が数時間遅れたため対応が後手に回り、その結果深刻な被害を受けるという例は後を絶たない。夜間や休日を含め、常に監視の目を緩めず対応する仕組みの構築が求められる。そして分析は、検知された事象を詳しく調査して危険性の有無や、予想される被害の規模を確認し、危険と判断した際には直ちに対策実行を指示する役割を担っている。
これまで、企業におけるセキュリティ対策は情報システム部門が中心となり、主に技術面を重視しながら進められてきた。しかし最近は、サイバーセキュリティリスクを企業全体の問題と認識し、経営者をはじめ全従業員が課題意識を持って臨むことが求められている。多額の予算を投じ、最新テクノロジーを駆使した対策を行ったとしても、適切な運用がされなければサイバー攻撃の状況を正確に把握できない。本ガイドラインでは、攻撃者に重要情報を窃取されるといった重大な被害に発展することのないよう、各部署が協力して綿密な対策を講じる必要性を指摘している。
\ かんたん入力で登録完了 /
執筆=林 達哉
【TP】
最新セキュリティマネジメント
企業の情報セキュリティリスク認知調査2023
テクノロジーの進化によって、生産性の向上や多様な働き方の実現などの恩恵がもたらされる一方、サイバー攻撃も多様化・複雑化の一途をたどっています。こうした中、攻撃手法などの情報セキュリティリスクをどれくらい認知しているのだろうか。その最新動向について調査しました。
情報セキュリティ対策意識調査2022
DX推進が企業にとって成長のドライバーとなる中、サイバー攻撃も多様化・複雑化の一途をたどっています。AIやRPAなど各種のICTテクノロジーや、社内外のコミュニケーションを円滑化するクラウドストレージ活用が進む現在、企業における情報セキュリティ対策はどうなっているのだろうか。対策度合いや、脅威に感じるもの、対策をするうえでの課題などの最新動向について調査を行いました。
その対策は効果ナシ!セキュリティの常識を検証する
サイバー攻撃の被害が深刻化し、従来のセキュリティの常識が 崩れ始めています。本当に必要な対策とは何か?情報セキュリティ大学院大学の大久保隆夫教授にお聞きしました。