経産省の注意喚起から考える、サイバーセキュリティリスクへの経営者の関与の必要性とは?

2020年12月18日、経済産業省は「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」を発表しました。本文書では、新型コロナ禍に伴う労働環境の変化やサイバー攻撃起点の拡大、ランサムウェア等の被害の増大を背景とし、それらへの対応として経営者の関与の必要性を訴えています。

サイバーセキュリティ対策に経営者の関与が必要な理由とは?

注意喚起が行われた趣旨として、下記の3つが挙げられています。

  1. 中小企業を巻き込んだサプライチェーン上での攻撃パターンの急激な拡がり
  2. 大企業・中小企業等を問わないランサムウェアによる被害の急増
  3. 機微性の高い情報の窃取等を目的としたと考えられる海外拠点を経由した攻撃の深刻化

経済産業省は今回の注意喚起の中で、経営者の方々に対し下記の三つの理由から積極的な関与を促しています。

  • 実務者による技術的な対策だけでなく、事業運営方法そのものの見直しが必要となる場合や、被害発生時に巻き込んでしまった取引先、顧客との調整、事業継続に係る判断などが必要となり、経営者でなければ判断・対応ができないケースがあること。
  • 二重脅迫型ランサムウェアによる情報窃取は従来のバックアップだけでなく、暗号化などの漏洩対策の導入が必要となるが、こうした対策は日常的な業務運用の変更が伴うこともあり、経営者のリーダーシップが必要となること。また、被害発生時の金銭支払いは、犯罪組織への支援と捉える向きもあり、この対応は自社の信頼やコンプライアンス上の問題として経営者が判断すべき経営問題であること。
    (参考:弊社コラム「進化するランサムウェアによる情報漏洩への対策」)
  • 事業のグローバル化に伴う国内と海外拠点のシステム統合は、拠点を展開する国・地域の直面しているセキュリティリスクやデータ管理に係る規制等を理解した上で、適切なシステム、ルール作りをしなくてはならない。これはシステムの技術的な対応だけでなく、グローバル・ガバナンスの観点から、経営者が統合レベルの決定と運用体制の構築を主導する必要があること。

このような前提の元、経営層がセキュリティ担当者に対応状況を確認すべき事項について、「サイバーセキュリティ経営ガイドライン ver.2.0: 経済産業省」の指示事項に従って整理されています。

サプライチェーンやマルウェアの巧妙化によりセキュリティリスクは増大している

サプライチェーンの発達やテレワークの普及に伴う新しいシステムやサービスの導入は、事業発展の上で欠かすことができないものです。しかし、VPNの脆弱性を突いた攻撃やクラウドのログイン情報の流出によるなりすましなど、外部から社内ネットワークにアクセスする口が増えるほど、外部攻撃に晒されるリスクは増大していきます。

また攻撃に使われるEmotetやランサムウェアの被害は非常に深刻化しており、特にランサムウェアはIPAが発表する2021年の情報セキュリティ10大脅威(組織)では1位に選ばれています。

今回の注意喚起の中では、これらの脅威に対して経営者の方々にとってのインシデント発生のリスクとその対応、そして経営者の関与が必要となるポイントなどについてもまとめられています。

経営層の関与が薄い企業ほどセキュリティに不安を抱えている

弊社が今までセキュリティベンダーとしてお客様と接している中で、特にセキュリティ対策に不安を感じるのは、経営層の方の関与が薄く、セキュリティ担当の方に任せきりの状態になってしまっている企業です。

前述のサイバーセキュリティ経営ガイドラインの記載にもある通り、サイバーセキュリティリスクは流出後の対応なども含め、経営上のリスクの一つとして、経営者自ら関与していくべき問題です。しかし、企業によってはセキュリティ担当部署に任せきりになっており、警戒すべきリスクや自社の導入しているソリューションについて把握していないことが多々見られます。

また、セキュリティ製品はその性質上、導入の効果が見えにくいため、セキュリティ投資を単純なコストとして捉え、導入を後回しにしてしまうケースも存在します。

このような状況に陥った結果、セキュリティ担当者があまり効果のない(自社のセキュリティリスクに対応できていない)、低コストで収まるセキュリティ製品を、まるでアリバイ作りのように導入してしまうことも少なくありません。

経営層と実務者は協力して自社のセキュリティ対策を検討しよう

こういった事態を防ぐためには、経営層が自社の直面しているセキュリティリスクを理解し、セキュリティ担当者と協力しながら自社のセキュリティポリシーの策定、データ管理の方法や社外と情報共有をする上でのルール作りを行う必要があります。また、ビジネスパートナーや委託先も含めたセキュリティ対策を徹底することも必要です。さらに、もしインシデントが発生した場合の事後対応についても必ず検討しておくべきでしょう。

セキュリティポリシー検討に関するガイドライン等まとめ

自社のセキュリティポリシーを検討する際は、政府機関やIPAの公表しているガイドラインや、今回のような注意喚起が参考になります。

また、近年話題となっているゼロトラスト・セキュリティの考え方を採用するのも効果的です。
(参考:弊社コラム「2021年3月18日開催 「ファイル暗号化による『ゼロトラスト・セキュリティ』の実現」セミナーレポート」)

最後に

弊社のファイル暗号化ソリューション『DataClasys』は、今回の注意喚起の中で二重脅迫型ランサムウェア攻撃への対策として例示されているInformation Rights Management(IRM)に該当する製品です。ランサムウェアにより窃取された情報もDataClasysで暗号化されていれば、攻撃者には開くことができません。

また導入時の業務運用の変更もほとんど発生せず、利用者の負担なくセキュリティを向上することが可能です。

自社のセキュリティ製品導入に迷った際は、是非ご検討ください。

DataClasys製品お問い合わせはこちらから