最新セキュリティマネジメント（第6回） サイバーセキュリティリスクの把握と対応計画の策定

　経済産業省が策定した「セキュリティ経営ガイドライン」で、経営者が社内に指示すべきポイントとして示された「重要10項目」。今回は4番目の項目となる「サイバーセキュリティリスクの把握とリスク対応に関する計画の策定」について解説する。

リスクの把握と対応を推進

　経済産業省と独立行政法人情報処理推進機構（IPA）が共同で策定した「サイバーセキュリティ経営ガイドライン Ver2.0」では、企業のIT活用を推進する上で経営者が認識すべきサイバーセキュリティに関する原則や、経営者がリーダーシップをもって取り組むべき項目がまとめられている。

　サイバー攻撃を受けて業務が停止したり、商品・サービスの提供に支障が出たりした場合、企業の経営は深刻なダメージを受けることになる。不測の事態を未然に防ぐためには、あらかじめ生じる可能性があるリスクの内容を正確に把握し、計画に基づいた対応を行うことが重要だ。今回はこれらのポイントについて解説する。

セキュリティリスクの種類とは

　サイバーセキュリティ対策の必要性について、ほとんどすべての企業が認識していることは言うまでもない。ただし、具体的な対策の内容を見てみると、企業によって差があることが分かる。例えば、現時点で重大なリスクではないものの、将来的にリスクとなり得る事項が見つかった場合、直ちに業務を停止して対策を徹底する企業がある一方、通常業務を継続しながら対策を講じる企業もある。取り組み方には企業それぞれ違いがある。

　小さなリスクを見逃さず早急に徹底した対策を行う姿勢は企業として望ましいものだが、その都度業務を停止した場合、生産性が落ち、結果として業績低迷につながる可能性もある。しかし、それを恐れて対策を後回しにした企業が経営危機に陥るケースも少なくない。また、「転ばぬ先のつえ」とばかりに詳細な規則を定めて社員に強いた結果、業務効率が低下して売り上げが減少するケースも考えられる。こうした点から、いかに業務効率を落とさず、リスクに対応するか、その両立が大切だ。

　サイバーセキュリティ上のリスクとして代表的なものに、情報漏えい・流出による損害がある。それに対して考えられる対策は「予防」、そして「発生時の対応」となる。さらに他にもリスクを遠ざける「回避」や、影響を最小限にするための「移転」などもある。これらの対策について、進め方を検証してみよう。

対策は「低減・回避・移転」で取り組む

　サイバーセキュリティ対策の対象となる情報は、顧客や取引先に関する情報はもちろん、経理、財務、人事といった企業活動全般にわたっている。その情報は現在では、データとしてコンピューターに保管されているケースが多いだろう。ただ、具体的に「何がどこにあるのか？」と聞かれると、はっきり答えられないケースも少なくないのではないか。

　かつては社内にサーバーを設置して一元管理する企業も多かったが、データ量の増加やシステム分散化に伴い、現在はさまざまな場所で個別に保管している企業も珍しくない。対策を考える際は、まず、膨大なデータの中から「経営戦略上、守るべき情報」を特定し、それがどこに保管されているかを把握する必要がある。

　この「守るべき情報」に対して、発生し得る具体的なサイバーセキュリティリスクを把握する。情報流出の被害は頻繁にメディアで報じられているのだが、あらためて挙げてみよう。

・業務停止（社内システムダウン・工場の操業停止など）
・データ悪用（機密情報の公開、詐欺など犯罪での悪用など）
・社会的信用の失墜（顧客・取引先減少、報道によるイメージダウン）
・経営悪化（補償の負担、最悪の場合倒産も）

　こうしたインシデント発生時の被害を恐れるあまり、あまり極端な利用制限を行うことはデータ活用の低下につながり、企業活動を停滞させてしまう結果を招きかねない。対策を講じる際には、個々の被害の大小、発生する可能性の高さ、あるいは生産性への影響などを検討して、優先順位をつけて対応を考える取り組みが求められる。

　次に、把握したリスクに対して実施すべき具体的な対策を検討する。以下のような低減策、回避策、移転策の中から最適なものを選択する。もちろん、複数の対策を組み合わせるのも効果的だ。

実施すべき具体的な対策

・リスク低減策の実施（リスクの発生確率を下げる対策）
　例：重要な情報へのアクセス制御、ソフトウエア更新の徹底など

・リスク回避策の実施（リスク発生の可能性を除去する対策）
　例：（盗難防止を目的とした）端末持ち出し禁止など

・リスク移転策の実施（リスクを他社などに移す対策）
　例：クラウドサービスの利用、サイバー保険加入など

　これらの対策のうち、リスク低減をめざす取り組みはすでにかなりの企業が実施している模様だ。しかし、回避、移転の対策は「手つかず」、もしくは「まだこれから」という場合も多いようだ。

　回避の部分では、ビジネスシーンでリスクとなり得る行動をピックアップし、業務遂行に支障のない範囲で制限をかけることがポイントになる。また、移転については社外でのデータ管理に抵抗を感じる企業も少なくなかったが、クラウドサービスの進化を受けて、利用が徐々に拡大しつつある。高度な技術と責任感を持ち、安心してセキュリティ対策を委ねられるパートナーを見つけることが推進のカギになるだろう。

ビジネスの将来を見据えた対策を

　対策を進める中では早急な取り組みが求められる項目とは別に、現在はまだ不要だが、今後必要になる可能性があると判断されるものが出てくると思われる（扱うデータがそれほど重要でない場合、利用者が少ない場合など）。これらはひとまず「残留リスク」として分類し、タイミングを見てセキュリティ対策を実施する。

　法令上の安全管理措置が義務付けられている情報（個人情報など）については、法令上の取り扱いを考慮したリスクの特定を行うとともに、緊急時に速やかに情報保護が行えるような対策となっているかを検討する必要がある。以前から保護の取り組みを開始している場合も、法令の変更や時代の要請に合わせて、定期的に見直しを行うのが望ましい。

　また、サイバーセキュリティ対策は現在行われている業務に限って必要なものではない。今後、企業が新たに取り組むあらゆるビジネスに関係する。新しい製品・サービスの開発や新規事業分野に進出する際には、「セキュリティ・バイ・デザイン（情報セキュリティを企画・設計段階から確保するための方策）」の観点を踏まえ、スタート時点において将来をにらんで効果的なセキュリティ対策を組み込んでおくべきだろう。