経営課題と解決へのヒント

今知っておきたい、経営課題と解決へのヒント 課題1

9つの経営課題 一覧へ

サイバー攻撃から会社を守る~セキュリティトレーニングのススメ~

情報漏えいを起こして責任者が謝罪会見──ひとたびこうした事件を起こせば、顧客や取引先からの信用を失い、賠償など金銭的にも大きなダメージを受けます。
コンピュータに侵入して被害を与えるサイバー攻撃は無差別型攻撃からターゲットを明確にした標的型へ、犯罪性も高く変化しています。外部からの攻撃を防御する情報セキュリティ対策は、すべての企業・団体にとって取り組むべき経営課題なのです。
しかし、「狙われるのは大企業や官公庁。うちは大丈夫」と思っていませんか。
これは大変な誤解です。
大切な職場が足元をすくわれないよう、正しい情報を得て必要な対策を進めていきたいものです。

1.「人」から始まる防御の多層化

サイバー攻撃はどの職場にも起こりうる脅威であり、標的にされると逃れることはもはや不可能ともいえます。
まずは、システムの脆弱性への素早い対応など情報システムにおける「攻撃を受けないための守り」をしっかり行っておきましょう。
ただ、現状を踏まえると、完全に防ぐことはもはや不可能です。
サイバー攻撃を受けることを前提に、できるだけ被害を少なくし最悪の事態を免れるための防御体制が求められます。

そこで実施したいのが、「防御の多層化」です。
ウイルス対策ソフトを入れただけで安心してはいけません。ネットワークやサーバ周り、不審なURLへのアクセス防御など、仮に一つを破られても次の段階で防御できるようにしておきましょう。

攻撃を前提に防御を多層化して攻撃から守る

2.経営者の積極的な関与が不可欠

このように、犯罪性を高めているサイバー攻撃は、ビジネスを直撃し、経営危機を招く恐れがあります。
明日、自分の職場がサイバー攻撃を受けたらどうしますか。原因究明のためネットワークを停止する決断、情報収集と対策の決定、取引先への説明など経営者が決断し指示することがたくさんあります。
「情報セキュリティはITだから、システム担当者の仕事。任せている」というわけにはいきません。
事業や業務プロセスに対するリスクマネジメントとして、経営者が積極的に関与していきましょう。
最近は、企業・団体内ITセキュリティの専門チームCSIRT(シーサート:Computer Security Incident Response Team)をシステム部門内ではなく経営者直属の機関として設置する動きが加速しています。

サイバー攻撃に対向するためのセキュリティ専門チーム(CSIRT)の位置づけ

3.トレーニングで被害を最小限に

地震や火事などの自然災害では、日頃からの防災意識の高さ──正しい知識と防災訓練──が被害の程度を左右します。サイバー攻撃についても同様です。
最近はeラーニングなど場所や時間を問わずに学習できる仕組みが整っているので、従業員への普及啓発は必ず行いましょう。

そのうえで、大切なのが「万一」を想定した訓練です。
サイバー攻撃に関しては、「偽のメールをどのくらいクリックしてしまうものなのか」「マルウェアが社内システムに侵入したとわかったらどうするか」など、実際の攻撃を想定した対応訓練を行いたいものです。
例えば、標的型攻撃メールへの対応訓練では、疑似的な標的型メールを従業員に送り、各自がどのように対応したかを分析します。
体験そのものが従業員への啓発となり、セキュリティ意識の向上が図れます。また、マネジメント側は結果の分析をもとに、より必要性の高い施策を検討することができるのです。
事故(セキュリティインシデント)が起きた際にマネジメント部門直轄でセキュリティ対策を担うCSIRTの動きを演習するトレーニングでは、原因の究明や組織間の情報共有、社内外への連絡などを実践的に体感することができます。

サイバー攻撃を想定したトレーニングの有効性


「サイバー攻撃から会社を守る」ためのポイントを
分かりやすく解説!
経営課題解決に役立つ情報が満載!

「サイバー攻撃から会社を守る」ヒント満載の小冊子を無料進呈!お気軽にお申し込みください!