サイバー攻撃､｢恐い｣で済ませない経営者の視点 ホラーストーリーを経営計画に落とし込むには

まず、実際に起きたセキュリティ事件・事故の報道に基づいて、想定されるサイバー攻撃のシナリオを作成し、ケーススタディを行うことが有効だ。

シナリオに基づいて、セキュリティ担当やIT担当を中心に「①防御できるか」、「②検知・対処できるか」を評価する。

防御ができず、適切な対処ができないシナリオが事業上の脅威に相当するため、事業の担当者を中心に該当するシナリオの「㋐事業リスク」を評価し、「㋑関係者の役割」を明らかにしていく。

この作業を通じて、セキュリティと事業の双方の視点から、システムへの依存度、事件・事故の影響の大きさ、対策の必要性、責任の所在を精査する。一連の作業で、専門領域が異なる多様な関係者が具体的な議論をできるようになるというわけだ。

「事業リスク」の評価は、シナリオに対して想定される「代表的な事象」に対して、「代表的な評価軸」の観点から事象の影響度・深刻度を評価する。

さらに多様な「関係者の役割」をRACI（Responsible〈実行責任者〉、Accountable〈説明責任者〉、Consulted〈協業先・相談先〉、Informed〈報告先〉）に基づいて明らかにしていく。

事象の影響度・深刻度と関係者の役割が明らかになれば、問題を深掘りしていくことができる。

例えば、システムを止める判断は誰が行うのか（誰に責任があるのか）、その判断のために必要な情報は何か。その情報は用意できるのか、用意ができないとすればどのような対応が必要か。事件・事故の公表をどうするか、被害者への保証は必要かなどといったように。

段階的に作業を進めることで、価値観・業務・距離の近い部署から、ファクト・視点・価値観を横断的に共有するのがポイントだ。

①セキュリティ関係者で論点と課題を明らかにする、②情シス・運用部門と論点と課題の確認をする、③法務・広報などの専門家の考えを確認する、④事業部門と議論の基盤を構築する、⑤経営陣の考えを確認し議論の基盤を構築するといった具合だ。

対処すべき問題については、原因・要因・背景・課題・再発防止策の階層で考察したうえで、具体的な施策を検討する。当然、再発防止策は、組織が実施すべきセキュリティ施策そのものに相当する。

原因・要因・背景・課題・再発防止策の分析例

• 原因：事象の直接の原因　（例）脆弱性の対処漏れ
• 要因：原因が顕在化した理由　（例）脆弱性を収集し、適用を促す仕組みがなかった
• 背景：要因が解決できなかった理由　（例）セキュリティを配慮したシステム運用コストがアサインされておらず、誰が責任者であるかも不明瞭だった
• 課題：背景を解決するための方策　（例）脆弱性などのセキュリティ上の問題を一元的に管理する部門が必要であり、各システムにおいては、セキュリティ運用の責任を明確にする必要がある
• 再発防止策：課題を具体化した施策　（例）①CSIRT業務に脆弱性の収集と周知を含むものとし、実施計画を早急に作成する。②システムの構築、運用に関する規程・ガイドラインを見直し、セキュリティに配慮した運用責任者を明確にし、必要な予算の確保を必須事項とする