サイバー攻撃、「恐い」で済ませない経営者の視点 ホラーストーリーを経営計画に落とし込むには
東洋経済オンライン / 2024年4月20日 8時0分
まず、実際に起きたセキュリティ事件・事故の報道に基づいて、想定されるサイバー攻撃のシナリオを作成し、ケーススタディを行うことが有効だ。
シナリオに基づいて、セキュリティ担当やIT担当を中心に「①防御できるか」、「②検知・対処できるか」を評価する。
防御ができず、適切な対処ができないシナリオが事業上の脅威に相当するため、事業の担当者を中心に該当するシナリオの「㋐事業リスク」を評価し、「㋑関係者の役割」を明らかにしていく。
この作業を通じて、セキュリティと事業の双方の視点から、システムへの依存度、事件・事故の影響の大きさ、対策の必要性、責任の所在を精査する。一連の作業で、専門領域が異なる多様な関係者が具体的な議論をできるようになるというわけだ。
「事業リスク」の評価は、シナリオに対して想定される「代表的な事象」に対して、「代表的な評価軸」の観点から事象の影響度・深刻度を評価する。
さらに多様な「関係者の役割」をRACI(Responsible〈実行責任者〉、Accountable〈説明責任者〉、Consulted〈協業先・相談先〉、Informed〈報告先〉)に基づいて明らかにしていく。
事象の影響度・深刻度と関係者の役割が明らかになれば、問題を深掘りしていくことができる。
例えば、システムを止める判断は誰が行うのか(誰に責任があるのか)、その判断のために必要な情報は何か。その情報は用意できるのか、用意ができないとすればどのような対応が必要か。事件・事故の公表をどうするか、被害者への保証は必要かなどといったように。
段階的に作業を進めることで、価値観・業務・距離の近い部署から、ファクト・視点・価値観を横断的に共有するのがポイントだ。
①セキュリティ関係者で論点と課題を明らかにする、②情シス・運用部門と論点と課題の確認をする、③法務・広報などの専門家の考えを確認する、④事業部門と議論の基盤を構築する、⑤経営陣の考えを確認し議論の基盤を構築するといった具合だ。
対処すべき問題については、原因・要因・背景・課題・再発防止策の階層で考察したうえで、具体的な施策を検討する。当然、再発防止策は、組織が実施すべきセキュリティ施策そのものに相当する。
原因・要因・背景・課題・再発防止策の分析例
- 原因:事象の直接の原因 (例)脆弱性の対処漏れ
- 要因:原因が顕在化した理由 (例)脆弱性を収集し、適用を促す仕組みがなかった
- 背景:要因が解決できなかった理由 (例)セキュリティを配慮したシステム運用コストがアサインされておらず、誰が責任者であるかも不明瞭だった
- 課題:背景を解決するための方策 (例)脆弱性などのセキュリティ上の問題を一元的に管理する部門が必要であり、各システムにおいては、セキュリティ運用の責任を明確にする必要がある
- 再発防止策:課題を具体化した施策 (例)①CSIRT業務に脆弱性の収集と周知を含むものとし、実施計画を早急に作成する。②システムの構築、運用に関する規程・ガイドラインを見直し、セキュリティに配慮した運用責任者を明確にし、必要な予算の確保を必須事項とする
この記事に関連するニュース
-
クラウドストライクとAWS、クラウドセキュリティとAIの変革に向けた戦略的提携の拡大を発表
PR TIMES / 2024年5月14日 15時45分
-
アクセリア、Webセキュリティ診断とペネトレーションテストサービスを提供開始
PR TIMES / 2024年5月14日 12時15分
-
SecurityScorecard、CISO向けにサイバー脅威の傾向を解説した「2024 S&P 500 サイバー脅威レポート」を発表-S&P 500企業の21%が2023年に情報漏えいの被害に-
Digital PR Platform / 2024年4月26日 10時25分
-
内閣府、国立研究開発法人情報通信研究機構、西村あさひ法律事務所による単独講演! @CISO Japan Summit 2024
PR TIMES / 2024年4月25日 11時15分
-
クラウド型Web診断ツール「AeyeScan」、新たに脆弱性診断をマネジメントするプラットフォームを提供
PR TIMES / 2024年4月18日 10時45分
ランキング
-
1キャベツ高騰 1玉1000円!? スーパーからキャベツ消えた、春キャベツ一体どこへ?【Nスタ解説】
TBS NEWS DIG Powered by JNN / 2024年5月16日 21時20分
-
2クルマの価格はまだまだ上がる? 下がる要素がとても少ないワケ
ITmedia ビジネスオンライン / 2024年5月17日 6時5分
-
3インドネシアで3億円過大計上か トヨタ系部品メーカー
共同通信 / 2024年5月16日 22時32分
-
4《告発スクープ》周富徳さんの弟・周富輝氏の中華料理店で長年にわたる食品偽装が発覚、元従業員が明かした調理場の実態
NEWSポストセブン / 2024年5月17日 11時15分
-
5EVが売れると自転車が爆発する...EV大国の中国で次々に明らかになる落とし穴
ニューズウィーク日本版 / 2024年5月17日 12時5分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください