攻撃者が有利だとされるサイバー攻撃。たとえ企業が十分な対策を取っていても、それを完全に防ぐことは難しいといわれている。そのため、一定の被害を受けることを前提に、いかにそれを予測し、組織機能を回復させる能力として「サイバーレジリエンス」が注目されつつある。この考えはBCP(事業継続計画)の一つとして日本でも認知され始め、近年多くの日本企業で「サイバーレジリエンス」を向上させる取り組みが進みつつある。そこで今回はBCPという観点から「サイバーレジリエンス」について考えるべく、東京海上ディーアール主席研究員の川口貴久氏に、サイバー攻撃に対して企業はどうリスクに備え、対策するべきかについて取材した。
BCPとして認知されつつあるサイバーレジリエンス
──川口さんが所属されている東京海上ディーアールと、現在のお仕事について簡単に教えてください。
2010年4月に東京海上日動リスクコンサルティングに入社し、去年の夏より東京海上ディーアールという現在の社名となり、そのまま所属しています。その名の通り、さまざまなリスクに関する調査研究やコンサルティング事業を行っている会社です。加えて、社名変更後はデジタル分野のコンサルティングを強化しています。社名の「ディーアール(dR)」には、手段としての「d」(data/digital/design)を活用して、様々な「R」(例:Resilienceなど)を実現し、社会に新たな価値を届けたいとの想いを込めています。
私の担当は政治リスクやサイバーリスクという領域です。政治リスク分野では経済安全保障や東アジア有事などに関するもの。サイバーリスクに関しては、企業の事業継続やリスク対応といった観点で支援させていただいています。具体的には、サイバーインシデント対応というよりも、サイバー攻撃をふまえたBCP(事業継続計画)策定や攻撃発生時の対応演習等です。
──近年、BCPの一環としてサイバーレジリエンスが注目されつつあります。川口さんはこのサイバーレジリエンスについてどのような見解をお持ちでしょうか。
サイバーレジリエンスに関する定義がサイバーセキュリティ業界のものとは異なるかもしれませんが、サイバーレジリエンスとは「一度被害を受けることを前提にしているが、速やかに復活・復旧をする」もしくは「被害を受けるが、最低限の機能は継続する」ことだと私は考えています。
ポイントはやはり、「被害を受けることを前提とする」という点、つまり「サイバー攻撃で侵入を受けたり、被害の発生を前提とする」ということです。もちろん、IT部門やセキュリティ部門の皆さんは予防を前提としていると思います。もっとも、サイバーリスクをゼロにするのはほぼ不可能なので、被害を受けた時にどうするか、いかに早く復旧をするのか、あるいはITインフラが止まったとしても、いかにミッションを継続するのか。この視点が「レジリエンス」であり、BCPそのものだと考えます。
10年近く前から世界経済フォーラムなどで「レジリエンス」という言葉が多く用いられたことで、日本でも各所で耳にするようになりました。内閣官房が掲げる国土強靱化もそうですし、弊社のようなリスクマネジメント業界でも「レジリエンス」という言葉は盛んに用いられているという印象があります。
──BCPの観点からでも、サイバーセキュリティの案件は増えていますか?
この数年間で間違いなく増加しています。特に大規模なサイバー攻撃が発生したり、被害が大きい事案の直後は照会が増えます。
ここ数年の相談として多いのは、ランサムウェアに感染した場合の全社的な対応や事業継続ですね。また、よく「身代金は支払われますか」と聞かれますが、「払うべきではない」と回答しています。なぜなら、一度犯罪者に資金を支払うと将来、再び狙われる可能性があるからです。なお、身代金の支払い状況はアメリカなどが支払い率が高い一方で、日本では低いというデータもあります。これは日本社会の反社的行為に対する許容度の低さを反映しているでしょう。
この記事は参考になりましたか?
- この記事の著者
-
この記事は参考になりましたか?
この記事をシェア
