目次
サイバーセキュリティに不備があるとどうなるか
サイバーセキュリティに不備があると、サイバー攻撃や情報漏洩といったセキュリティインシデントが発生します。セキュリティインシデントは、今日においては広く報道がなされ、発生するとIT部門だけでなく、全社に影響が波及し、経営上のリスクとなりえます。
具体的なリスクとしては、下記が挙げられます。
・業務上のリスク
・レピュテーションのリスク
・財務上のリスク
業務上のリスク
近年ランサムウェアという、業務上のデータを暗号化するマルウェアの攻撃が大流行しています。
このランサムウェアに感染すると、重要な業務データにアクセスできなくなり、1日~数日の業務停止に追い込まれるといった事態だけでなく、重要なデータの隔離やセキュリティ強化のための施策を大至急実施しなければならない事態に追い込まれる、といった事態が生じます。
最近の事例であれば、世界的なメーカーのオフィス環境でemotetと呼ばれるランサムウェアが蔓延し、世界中の工場において業務停止に追い込まれた事例が存在します。
(参考:トヨタの国内全工場ストップが突きつけた「サイバー防衛」の至難)
レピュテーションのリスク
サイバー攻撃にさらされることで、企業や団体の評判が損なわれるといったレピュテーションのリスクも存在します。
具体的には、日本における業務のデジタル化を推進するデジタル庁が、メールの誤操作による情報漏洩をおこしてしまった際には、SNS等で呆れともみられるコメントが相次いで投稿されたという事例もあります。
最近の事例であれば、世界的なメーカーのオフィス環境でemotetと呼ばれるランサムウェアが蔓延し、世界中の工場において業務停止に追い込まれた事例が存在します。
(参考:デジタル庁“BCCとCC取り違え”メアド流出にネット苦笑。)
財務上のリスク
セキュリティインシデントを起こすと、それに伴う賠償などへの対応も必要になります。
2014年に発生した通信教育大手企業の情報漏洩における事例においては、約3000万件以上の個人情報が漏洩しました。被害者に情報漏洩に対する賠償を行うため、当該企業は200億円の原資を用意して対応する、といった事態が発生しています。
このように、セキュリティインシデントが発生すると賠償のための特別損失を計上しなければいけないケースが発生し、企業の財務状況が急速に悪化するといえます。
(参考:ベネッセお客様本部 事故の概要)
DX推進を進めるためにもセキュリティ人材が必要
DXを推進するためには何よりもセキュリティ人材が必要です。DXにおいては、AIやクラウドといった比較的最新の技術が多用され、それに伴い必要なセキュリティ対策も多様化してきています。
また、標的型メール攻撃など、従来のファイアウォールなどを利用した境界型防御では防ぐことができない攻撃も増えており、対応すべきサイバー攻撃の手法も多様化しています。
それらに対応することができるサイバーセキュリティ人材は不足傾向に向かうことが予想されており、セキュリティ人材の争奪戦が発生することは想像に難くありません。
内閣サイバーセキュリティセンターのサイバーセキュリティ戦略によると、政府でも社会の持続的な発展や、国防上の重要な要素としてセキュリティを重視していくといったサイバーセキュリティ戦略を掲げており、そのなかでセキュリティの専門的な知識を持った人材の不足が課題として設定されています。
(参考:サイバーセキュリティ関係施策に関する平成 28 年度予算重点化方針(案))
サイバーセキュリティ経営ガイドラインとは
サイバーセキュリティ対策を行わないと、企業がさまざまなリスクにさらされてしまうことは、前述の通り明らかですが、どのようにサイバーセキュリティ対策を進めればいいのでしょうか。
経済産業省では、『サイバーセキュリティ経営ガイドライン』と呼ばれるガイドラインを公開し、経営者が認識すべき3つの原則や、サイバーセキュリティに関する10項目のベストプラクティス集を公開しています。
(参考:サイバーセキュリティ経営ガイドライン)
経営者が認識すべき3つの原則とは?
・経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
・自社はもちろん、ビジネスパートナーや委託先も含めたサプライチェーンへのセキュリティ対策が必要
・平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要
サイバーセキュリティに関する10項目のベストプラクティスとは?
・サイバーセキュリティリスクの認識、組織全体での対応方針の策定
・サイバーセキュリティリスク管理体制の構築
・サイバーセキュリティ対策のための資源(予算、人材等)確保
・サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
・サイバーセキュリティリスクに対応するための仕組みの構築
・サイバーセキュリティ対策における PDCA サイクルの実施
・インシデント発生時の緊急対応体制の整備
・インシデントによる被害に備えた復旧体制の整備
・ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
・情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供
また、別の基準としてISO27001といった国際的な標準に従ってセキュリティ対策を構築するのも一手でしょう。
いずれも、企業のサイバーセキュリティにおいて、情報資産、人的資産、技術的、セキュリティ運用等のさまざまな面から見て管理運営を行っていくためのプラクティスがまとまっています。
海外と比較した日本のセキュリティ人材不足の要因
セキュリティ人材不足の要因は、様々な分析がありますが、下記が主要因であると考えられています。
セキュリティ体制の不備によるセキュリティ業務標準化・自動化の遅れ
日本でも欧米諸国でも、セキュリティに関わる環境に大きな違いはありません。違いといえば、欧米諸国では早い段階からCSIRTなどのセキュリティ体制が構築され、業務の標準化が進んでいました。
業務を標準化した次の段階として、SIEM,SOARなどによるセキュリティ業務の自動化が進んでいます。
セキュリティ対策はROIなどの指標と相性が悪い
セキュリティ対策は他の投資と比較してリスクを生みにくいという特徴があります。例えば、全社的にウイルス対策ソフトを導入しても、ウイルス対策ソフトは直接企業に収益をもたらすことが無いだけでなく、定期的なスキャンでPCの動作を重くし、生産性の低下につながってしまいます。
このように、ROIなどの指標と相性が悪いセキュリティ対策は経営者の視点で後回しにされることが多く、人材確保も同様に最低限となってしまい、セキュリティ人材の需要が低いままであったことが考えられます。
対象の拡大・多様化
近年ではITが企業のオフィス環境だけでなく、toC、toB向けアプリケーションの公開など、ビジネスに直結するようになってきています。これに伴い、考慮すべきセキュリティの領域が拡大しています。
また、先述のようにサイバー攻撃の手法も多様化しています。この近年の動向から、従来のセキュリティ人材が近年のビジネス環境とアンマッチし、不足が発生しているものと思われます。
サイバーセキュリティ体制を作るには
サイバーセキュリティ体制の理想は、全社的なセキュリティに関するリテラシーを底上げしつつ、CSIRTなどのセキュリティ専門部門を設置してセキュリティ対策の企画や実行・グループ会社との連携を実施することがよいとされています。
サイバーセキュリティインシデントは、企業の誰が犯してしまってもおかしくない状態であり、定期的なインシデント訓練やセキュリティ教育を行い全社員のリテラシー向上が必要です。
加えて、どのようなセキュリティ対策を行うべきか、全社的に推進を行ったり、インシデント発生時に専門的に対応するCSIRT組織が存在すると、インシデント予防や発生時の対応がスムーズです。
また、『サイバーセキュリティ経営ガイドライン Ver2.0 付録 F』に「このように様々な部門・組織が連携してサイバーセキュリティ対策に取り組むための全社的な体制を構築するためには、経営者のリーダーシップが必要不可欠」とあるように、このような体制を構築するためにはなによりも経営者の理解や推進をおこなう姿勢が重要です。
(参考:サイバーセキュリティ体制構築・人材確保の手引き)
人材確保の手引き
会社内にどのようなスキルレベルの人材が在籍しているのかを可視化することが重要です。IPA(情報処理推進機構)では、スキルレベルを7段階にわけたITSSを公開しています。
レベルの段階のうち、各レベルXX人在籍、といった形で調査を実施します。一般的な企業であればITSSのなかでもレベル5の人材が在籍していれば十分で、CSIRT組織にはレベル3~4の人材が数名いれば問題ありません。
在籍者のスキルレベルを可視化した後は、情報処理安全確保支援士試験の受験推進や、IPAの中核人材育成プログラムに参加させるなど、スキル向上策を実施していき、各人材を不足しているレベルにあげていくのがいいでしょう。
(参考:ITスキル標準に関するご紹介)
外注や中途採用も鍵
不足しているスキルレベルを明確化すると、アウトソーシングによる確保や、中途採用のスコープを立てることにも有効です。急な体制確保が必要であれば、検討してみるのも良いでしょう。アウトソーシングを行った際には、自社社員向けにスキルトランスファーを実施することも重要です。
まとめ
今回の記事では、サイバーセキュリティ人材の要因と対策について海外と比較して解説しました。コンサルティング案件などを探している方、事例を知りたい方は、ぜひfoRProまでご相談ください。