サイバーセキュリティ態勢は、状況に応じて進化を止めないことが重要

blog

ランサムウェア被害がニュースになる中でどの企業でもサイバーセキュリティを考えていくことが重要になってきています。実際にお客様からもサイバーセキュリティというキーワードでお話をする機会が増えています。

ここ半年の営業を通してどの企業でもサイバーセキュリティに対してなにかしなければならないという強い意識を感じてきました。既にご存じの方も多いと思いますが、2018年3月に経団連が「サイバーセキュリティ経営宣言(https://www.keidanren.or.jp/policy/2018/018.pdf)」を発表しました。これを機にサイバーセキュリティ対策がITや情報セキュリティ部門だけでなく経営を巻き込んだ企業の取組みに変化してきています。大企業では、この発表に合わせて経営宣言を発表しておりますが、中小企業ではなかなか簡単なことでなく意識はされつつも企業としての動きはこれからと思われます。

ただ、宣言はされていてもサイバーセキュリティ態勢がしっかり整備されて経営がされているかは、時代と共に進化するサイバー犯罪とのいたちごっこであり、十分と言いきれるものではありません。出来ていないでなく終わりのない世界であるということです。

コロナ禍で始まったリモートワークを中心としたニューノーマルな働き方のベースになる環境への変化、ロシアのウクライナ侵攻を機に増えるランサムウェア攻撃などのサイバー犯罪の増加によりそれ以前に作られた態勢も進化が求められます。

こうした環境変化の中で態勢整備が出来ているエンタープライズ企業にも取り組まなければならない課題があり、これから態勢を考え整備をする中小企業でも課題は存在するものと考えられます。

【グローバルなエンタープライズ日系企業の事例】

サイバーセキュリティ態勢に関しての現状は、2018年の経団連の「サイバーセキュリティ経営宣言」後に自社の「サイバーセキュリティ経営宣言」を発表、それ以前からあるCSIRTの組織を中心に経営を巻き込んだ組織体制をとり、ディスクロージャーレポートでもサイバーセキュリティに対する取り組みが必ず報告されるようになっています。

この企業が直面する課題は、サイバーセキュリティ経営宣言の中でグループ会社を含む統制運用という姿勢をみせています。実際に連携などは行われていますが、グループ会社、海外拠点を一つのCSIRTでコントロールする態勢には課題も生まれています。

直面する課題は、一極集中のCSIRTからグローバルベースの分散運用と統制態勢への変化というものです。

東京一極体制における課題

① コミュニケーション(言葉の壁)

グローバル企業であっても英語が公用語としてデフォルトになっていないことから海外拠点で発生したインシデント対応等で言語やITスキルやバックグランドの相違でコミュニケーションが難しい。

② 拠点のIT(サイバーセキュリティ)スキル

少数のITスタッフの拠点では、Windowsやネットワークなど基本的なことは理解しているが、複雑化するサイバーセキュリティに関してまでを一定レベルでスキルアップとキープが困難(日系の中小企業など少数の情シス体制でも同様)

③ 時差

24/365ベースの監視体制があったとしても、海外拠点での限られた要員(数名のケースなど)での24/365体制は労務管理的にも難しい。日中時間帯であって数時間の時差があるだけで労務負担となる。(日系中小企業の場合は、国内であっても24/365体制は確立しづらい)

④ サイバーセキュリティ目線でのIT統制

システム基盤や一般的なITレベルでのハードウェア、ソフトウェア、運用などに関して統制は出来ているが、サイバーセキュリティの視点で見た時に十分な情報管理統制が行い切れていない。(日系の中小企業など少数の情シス体制でも同様)

という感じになります。今日出来いても来年は同じ状態では出来ていると言えない可能性があります。

例えば、よく理解をしたCSIRT担当が人事異動で未経験者と交代したらどうでしょうか?

Aさんは、しっかり出来ていたし理解もあったがBさんに変わったら何もできないなんてことも起きかねません。日本の企業の場合は、3年~5年で人事異動があります。この人事異動も考慮した要員配置は出来ているでしょうか?

この回避策の一つが外部の専門サービスの活用があります。実際、一般的な情シス要員ですら派遣サービスが存在ます。サイバーセキュリティ観点では、SOCサービス、CSIRTサービス、代理CISOサービス、インシデントレスポンスサービスなどがあります。こうしたサービスを活用すれば、外部委託管理先管理が出来ればサイバーセキュリティ態勢は大きく向上させることが可能です。専門サービスなので時代の変化への対応もされます。

エンタープライズ企業であっても全てを内製化して態勢の向上から適材適所で外部リソースの適応を考えています。