『サイバーリスクマネジメントの強化書 経団連「サイバーリスクハンドブック」実践の手引き』2023/2/1
梶浦敏範 (監修), 佐藤徳之 (監修), CRMJ研究会 (編集)
グローバル企業への直接攻撃はもとより、サプライヤー企業を踏み台に大企業へ脅威を与えるサイバー攻撃が続発する中、インシデント発生を想定した「準備」「対応・復旧」「改善・再発防止」のサイクル運用法を伝授する『サイバーリスクマネジメントの強化書』、経団連推奨公式ガイドです。
「第1章 サイバーリスクマネジメントは取締役の法的義務」には、次のように書いてありました。
「サイバーセキュリティの確保は、取締役が果たすべき責任である。(中略)サプライチェーン全体を捉え、サイバーセキュリティの確保に取り組まなければならない。(中略)
また、インシデントに備えた体制を整備し、インシデント発生時の適切な対応を行い、迅速な復旧を測る必要もある。(中略)
次に、企業に関するステークホルダーに信頼してもらい、安心してもらう必要がある。(中略)ステークホルダーに対して企業の取り組みを開示する必要がある。」
そして次のようにも……
・日本シーサート協議会や各種ISACへの加入も検討すべき
・事前対策やセキュリティ対策の中に法的視点を入れておくべき
・サイバーセキュリティの知見に長けた弁護士を探しておく。
・取り組むべきリスクを見える化(リスクマッピング)しておく
・的確に初動チームを組成するコーディネーターとしてのインシデントレスポンスマネージャー(IRM)の確保
・実績の豊富な保険会社によるインシデントレスポンス体制をバックアップとして確保
……などなど。
またサイバーBCP(Business Continuity Plan)のひな型(サイバーBCP関係者と被害発生時の役割)は次の通りだそうです。
1)IT
・被害を受けていないデバイス・アプリケーションのネットワークからの切り離し
・代替手段(メール・SNSなど)の社内への提供
・バックアップされているデータやアプリケーションからの復元可否判断
・取引先SIベンダー、クラウドサービス会社との連携
・セキュリティ専門人材(Incident Responder)への委託
・マルウェア・ランサムウェアの追跡、駆除
・復旧判定
・デバイス・アプリケーションのネットワークへのつなぎ戻し
2)法務部
・関係機関への報告、刑事告発
・身代金支払い可否の判断
・払う場合は交渉専門セキュリティ会社(米国企業)との契約
3)CFO部門
・資金決済への影響回避
・ERP停止時の対応
・決済延期可否判断と延期の場合の対応(関東財務局)
4)広報部
・メディア対応
・ホームページ代替手動起動(SNS)
5)人事部
・社員勤務体系変更)
*
……なお、この「復旧判定」は最低でも2週間ぐらいはかかると考えた方がよいのだとか。実際にサイバーセキュリティ問題が発生してしまうと、短時間のうちに大変な作業が必要になるんですね……。
ところが日本には、サイバー人材が不足しているという深刻な問題があります。
「第3章 脅威の監視・分析やトレーニングの重要性」の「サイバー人材の育成」には、次のような驚きの提案が書いてありました。
「組織的サイバー対応力の構築においては、人材育成に加え、新技術の獲得やノウハウ獲得などパートナーとの連携も重要である。グローバルなパートナーという意味では、日本にとってイスラエルは興味深いパートナー候補である。」
「実務経験の乏しさや攻撃者目線など、日本企業に足りない部分をイスラエルに担ってもらうことには大きな効用があると言える。中国、ロシア、北朝鮮、イランなどの国が国家レベルでサイバー攻撃力を高めている中で、日本は独自の努力だけでなく強力なパートナーが必要になっている。」
……イスラエルには兵役制度があり、サイバー部隊を目指す学生が多いそうです。しかもイスラエルには、軍隊で取得し開発した技術・ノウハウを、退役後に民間活用できるというユニークな背景があるのだとか(他の国だと機密扱いになり、民間活用はできないことが多いようです)。
ただ……サイバー攻撃で社内が混乱に陥っているなか、日本語が通じにくいイスラエルの人材に頼るというのは……かなりハードルが高いような気がします。
それでもサイバー人材の重要性は今後どんどん増すはずなので、国が資金を出して、イスラエルの人材に日本の大学生を教育してもらって人材育成を推進したら良いのでは?と考えてしまいました。
えーと……本書では他にも、「サイバーインシデント発生時の初動対応で注意するポイント」や、「サイバー机上演習」、「ケーススタディ(ランサムウェア攻撃を受けた事例)」など、とても参考になる情報をたくさん読むことが出来ました。
特にこの「ケーススタディ」では、「3つあったバックアップがすべて同一のネットワーク上で保管されていたために暗号化されてしまった」とか、「専門会社の選択ミス」など、さまざまな現実的な問題を知ることが出来て、心の底から震え上がってしまいました……(涙)。
『サイバーリスクマネジメントの強化書 経団連「サイバーリスクハンドブック」実践の手引き』……サイバーリスクについて総合的に学ぶことが出来る本でした。サイバーリスクに興味のある方は、ぜひ読んでみてください☆
なお本書にも紹介がある、次の情報もとても参考になると思います。
・「サイバーセキュリティ経営ガイドライン」(経済産業省+情報処理機構(IPA))
・「中小企業の情報セキュリティ対策ガイドライン」(経済産業省+情報処理機構(IPA))
・「中小企業のサイバーセキュリティ対策」(経済産業省ホームページ)
* * *
なお社会や科学、IT関連の本は変化のスピードが速いので、購入する場合は、対象の本が最新版であることを確認してください。
<Amazon商品リンク>