サイバーレジリエンス、まずは何から始めるべきか?
近年、世間に衝撃を与える重大なセキュリティインシデントが立て続けに起こっている。そして、そのたびに意識の変化や対策の強化がなされてきた。たとえば、最近は病院や港湾が攻撃を受けた事例があり、生活や経済を支える重要インフラの防御に対する意識が高まってきている。さらに、2024年の初夏に起こったとある出版・エンターテインメント企業へのランサムウェア攻撃は、企業のサイバーセキュリティ対策を喚起する転機として後々語り継がれることになるかもしれない。
扇健一氏は、「もしサイバー攻撃によって企業の収益を支えるサービスに障害が発生すれば、収益悪化だけではなく株価や信用などにも悪影響を与えかねません。セキュリティ対策は今や株主や投資家からも注目されており、自社の取り組みや実績を統合報告書、有価証券報告書などに記載する企業も増えてきています」と話す。
企画本部 チーフセキュリティエバンジェリスト/Security CoE センタ長
扇健一氏
こうした環境の変化を受け、“サイバーレジリエンス”の強化に注目が集まっている。これは、サイバー攻撃の被害拡大やシステム障害などが起こっても、迅速に復旧・回復し事業を継続可能にするための取り組みだ。レジリエンスという言葉には、「回復力」や「耐久力」などといった意味がある。
昨今、デジタルツールやリモートワークが浸透する中でアタックサーフェス(攻撃対象領域)が増えていることもあり、防御側は攻撃者に侵入された“先”の対策を考えておかなければならない。もちろん、攻撃をブロックできればそれに越したことはないが、完全には防ぎきれず被害に遭うことも想定し、ダメージを局所化して迅速に回復できる力を蓄えておくことが必要なのである。
ただ、具体的に何をどう強化すべきかは各企業の状況によって異なる。まずはアセスメントなどを通じて、自社にどれだけ守るべき情報資産があるか洗い出しておく必要があるだろう。扇氏は手始めとして、IPA(情報処理推進機構)が発行している『中小企業の情報セキュリティ対策ガイドライン』に則った取り組みを推奨する。そうすることで、自社が情報セキュリティのアクションを起こしていることを自己宣言できるのだ。情報セキュリティ5ヵ条に取り組めば一つ星、自社診断の実施と基本方針の策定をすれば二つ星を宣言できる。
情報セキュリティ5ヵ条
- OSやソフトウェアは常に最新の状態にしよう!
- ウイルス対策ソフトを導入しよう!
- パスワードを強化しよう!
- 共有設定を見直そう!
- 脅威や攻撃の手口を知ろう!
(出典:情報処理推進機構『中小企業の情報セキュリティ対策ガイドライン』)
あくまで自己宣言ではあるが、このガイドラインには特に優先度の高い項目が盛り込まれているため、上記5つに本当に取り組んでいれば、かなりの効果が見込めるはずだという。たとえば、5ヵ条のうち最初には「OSやソフトウェアは常に最新の状態にしよう!」とあるが、これが不十分だったゆえにランサムウェアやマルウェアの侵入を許してしまったケースは非常に多い。
既にセキュリティ対策を施している企業も、この5ヵ条や自社診断と照らし合わせて十分かどうか確認してみてもよいだろう。
