SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

東京海上グループゆえに見える、サイバーセキュリティリスクと事業危機

 攻撃者が有利だとされるサイバー攻撃。たとえ企業が十分な対策を取っていても、それを完全に防ぐことは難しいといわれている。そのため、一定の被害を受けることを前提に、いかにそれを予測し、組織機能を回復させる能力として「サイバーレジリエンス」が注目されつつある。この考えはBCP(事業継続計画)の一つとして日本でも認知され始め、近年多くの日本企業で「サイバーレジリエンス」を向上させる取り組みが進みつつある。そこで今回はBCPという観点から「サイバーレジリエンス」について考えるべく、東京海上ディーアール主席研究員の川口貴久氏に、サイバー攻撃に対して企業はどうリスクに備え、対策するべきかについて取材した。

BCPとして認知されつつあるサイバーレジリエンス

──川口さんが所属されている東京海上ディーアールと、現在のお仕事について簡単に教えてください。

 2010年4月に東京海上日動リスクコンサルティングに入社し、去年の夏より東京海上ディーアールという現在の社名となり、そのまま所属しています。その名の通り、さまざまなリスクに関する調査研究やコンサルティング事業を行っている会社です。加えて、社名変更後はデジタル分野のコンサルティングを強化しています。社名の「ディーアール(dR)」には、手段としての「d」(data/digital/design)を活用して、様々な「R」(例:Resilienceなど)を実現し、社会に新たな価値を届けたいとの想いを込めています。

 私の担当は政治リスクやサイバーリスクという領域です。政治リスク分野では経済安全保障や東アジア有事などに関するもの。サイバーリスクに関しては、企業の事業継続やリスク対応といった観点で支援させていただいています。具体的には、サイバーインシデント対応というよりも、サイバー攻撃をふまえたBCP(事業継続計画)策定や攻撃発生時の対応演習等です。

──近年、BCPの一環としてサイバーレジリエンスが注目されつつあります。川口さんはこのサイバーレジリエンスについてどのような見解をお持ちでしょうか。

 サイバーレジリエンスに関する定義がサイバーセキュリティ業界のものとは異なるかもしれませんが、サイバーレジリエンスとは「一度被害を受けることを前提にしているが、速やかに復活・復旧をする」もしくは「被害を受けるが、最低限の機能は継続する」ことだと私は考えています。

 ポイントはやはり、「被害を受けることを前提とする」という点、つまり「サイバー攻撃で侵入を受けたり、被害の発生を前提とする」ということです。もちろん、IT部門やセキュリティ部門の皆さんは予防を前提としていると思います。もっとも、サイバーリスクをゼロにするのはほぼ不可能なので、被害を受けた時にどうするか、いかに早く復旧をするのか、あるいはITインフラが止まったとしても、いかにミッションを継続するのか。この視点が「レジリエンス」であり、BCPそのものだと考えます。

 10年近く前から世界経済フォーラムなどで「レジリエンス」という言葉が多く用いられたことで、日本でも各所で耳にするようになりました。内閣官房が掲げる国土強靱化もそうですし、弊社のようなリスクマネジメント業界でも「レジリエンス」という言葉は盛んに用いられているという印象があります。

──BCPの観点からでも、サイバーセキュリティの案件は増えていますか?

 この数年間で間違いなく増加しています。特に大規模なサイバー攻撃が発生したり、被害が大きい事案の直後は照会が増えます。

 ここ数年の相談として多いのは、ランサムウェアに感染した場合の全社的な対応や事業継続ですね。また、よく「身代金は支払われますか」と聞かれますが、「払うべきではない」と回答しています。なぜなら、一度犯罪者に資金を支払うと将来、再び狙われる可能性があるからです。なお、身代金の支払い状況はアメリカなどが支払い率が高い一方で、日本では低いというデータもあります。これは日本社会の反社的行為に対する許容度の低さを反映しているでしょう。

次のページ
BCPの観点から考える、サプライチェーンへのサイバー攻撃

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

西隅 秀人(編集部)(ニシズミ ヒデト)

EnterpriseZine編集部

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/16396 2022/08/22 08:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング