2024年6⽉17⽇ 公開
Index
-
サイバー攻撃に対するセキュリティ意識の高まり
ESG経営のリスクマネジメント シリーズ
サイバー攻撃に対するセキュリティ意識の高まり
近年、サイバー攻撃の目的や手段、経路が多様化しています。大企業だけでなく中小企業も標的となり、より一層の対策が求められています。特定の企業を標的に定め、金銭を要求する「標的型攻撃」や、悪質な愉快犯の様に標的を決めずウイルスなどをばら撒く「無差別型攻撃」など、国内でもサイバー攻撃による事故が複数確認されています。
個人情報保護法に対する社会的な注目が高まり続けていることもあり、サイバー攻撃に対する予備知識の習得と、組織として部署の設置または専任者の任命、専門機関を活用した準備と対策は、国内ビジネスにおいて浸透してきているのではないでしょうか?
海外ビジネスだとどうなる?
異国での知識と対策は充分?
世界中の国と地域にグローバルネットワークを持つAIG損保のナレッジから、サイバー攻撃の手口は国や地域で異なる特色はなく、世界中で共通していると考えます。そのため、海外ビジネスの現場でも日本国内で推奨されている取り組みを、変わりなく実施することが必要であると考えます。
では、日本国内で推奨されている サイバー攻撃への準備と対策とは?
経済産業省が有識者を集めてとりまとめた「サイバーセキュリティ経営ガイドライン(Ver 3.0)」にて定めている「経営者が認識すべき3原則」及び「サイバーセキュリティ経営の重要10項目」は、以下のとおりです。
- 経営者が認識すべき3原則
- 経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要
(経営者はリーダーシップをとってサイバー攻撃のリスクと企業への影響を考慮したサイバーセキュリティ対策を推進するとともに、企業の事業継続のためのセキュリティ投資を実施すべきである。) - サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
(自社のサイバーセキュリティ対策にとどまらず、在来形の部品調達などの形態や規模にとどまらないクラウドサービスの利用等のデジタル環境を介した外部とのつながりの全てを含むサプライチェーン全体を意識し、総合的なサイバーセキュリティ対策を実施すべきである。) - 平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要
(平時から社外の利害関係者(株主、顧客等)はもとより、社内の関係者(CIO等セキュリティ担当者、事業担当責任者等)に事業継続に加えてサイバーセキュリティ対策に関する情報開示を行うことなどで信頼関係を醸成し、インシデント発生時にもコミュニケーションが円滑に進むよう備えるべきである。)
- 経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要
- サイバーセキュリティ経営の重要10項目
〈経営者がリーダーシップをとったセキュリティ対策の推進〉
(サイバーセキュリティリスクの管理体制構築)
指示1 サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2 サイバーセキュリティリスク管理体制の構築
指示3 サイバーセキュリティ対策のための資源(予算、人材等)確保(サイバーセキュリティリスクの特定と対策の実装)
指示4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5 サイバーセキュリティリスクに効果的に対応する仕組みの構築
指示6 PDCAサイクルによるサイバーセキュリティ対策の継続的改善(インシデント発生に備えた体制構築)
指示7 インシデント発生時の緊急対応体制の整備
指示8 インシデントによる被害に備えた事業継続・復旧体制の整備(サイバーセキュリティリスクの管理体制構築)
指示1
サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2
サイバーセキュリティリスク管理体制の構築
指示3
サイバーセキュリティ対策のための資源(予算、人材等)確保(サイバーセキュリティリスクの特定と対策の実装)
指示4
サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5
サイバーセキュリティリスクに効果的に対応する仕組みの構築
指示6
PDCAサイクルによるサイバーセキュリティ対策の継続的改善(インシデント発生に備えた体制構築)
指示7
インシデント発生時の緊急対応体制の整備
指示8
インシデントによる被害に備えた事業継続・復旧体制の整備〈経営者がリーダーシップをとったセキュリティ対策の推進〉
指示9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
指示9
ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策〈ステークホルダーを含めた関係者とのコミュニケーションの推進〉
指示10 サイバーセキュリティに関する情報の収集、共有及び開示の促進策
指示10
サイバーセキュリティに関する情報の収集、共有及び開示の促進策
少数精鋭で臨むこともある海外進出、
どこまで対策できる?
「サイバーセキュリティ経営ガイドライン(Ver 3.0)」に従い、各要項をアクションリストとし、今一度、組織として整理することが好ましいでしょう。ただし、本ガイドラインにまとめられている要項は、企業や海外の現地事業所の規模によっては、全てを実行することが難しい場合もあるかと思います。
AIG損保は、前述のガイドラインも参考にしながら、サイバー攻撃に対して少数の人員でも実行すべき最低限のアクションについて的を絞り、以下のとおりご提案いたします。
① サイバーリスクにおける担当責任者の任命
サイバー攻撃は初動が非常に重要です。事態の察知から解決アクションに移行する速度を少しでも上げるために、各海外事業所においてもサイバーリスクの担当責任者を任命しておくことをお勧めいたします。担当責任者は、最低限の情報システムの知識を有し、経営陣との距離が近い人材が好ましいと考えます。
② サイバー攻撃のインシデント発生直後のエスカレーションフローの策定
サイバーインシデント発生時、担当責任者が初動で取るべきアクションは大きく分けて2つ挙げられます。
ひとつは、社内外への情報連携です。サイバーインシデントの発生時は、経営者または担当役員に速やかに状況を報告して具体的な解決策に向けた戦略を策定・実行するとともに、社員に対しても当面の言動に関する規律を発布し、2次3次的な情報漏洩等を防止する必要があります。また、取引先やサプライチェーンへの進捗報告や、被害の規模に応じて他のステークホルダーへの情報開示も想定しておくことが望ましいです。
もうひとつは、外部専門機関との連携です。一刻も早い解決へ向けて、速やかに現地の外部専門機関を選任し、連携して対応を進める必要があります。海外では外部専門機関に関する情報収集に時間がかかる場合もあるため、役割に応じた複数の現地の専門機関を予め調べておくことをお勧めいたします。
サイバーリスクの担当責任者は、エスカレーションフローを事前に準備しておくとともに、平時から担当責任者として取引先と顔合わせをし、サイバー攻撃に対する自社の考え方や取り組み方針を共有しておくことが、もしもの時の円滑な初動対応につながります。
サイバー攻撃の解決へ向けた外部専門機関の活用と、
舵取りのポイントとは?
日本国内か海外かを問わず、サイバーインシデント発生時は以下のような外部専門機関との連携が必要になります。
① コンサルタントへの業務依頼
サイバーインシデントに関する専門的な知識や経験を有したコンサルティング会社に、ステークホルダー対応、消費者対応、行政対応など、解決までに必要な各アクションについてサポートを仰ぎます。
② フォレンジック調査機関(※)への業務依頼
サイバーインシデントの原因究明や復旧等をフォレンジック調査機関に依頼します。
- フォレンジックとは警察の犯罪捜査や法医学における鑑識・科学捜査を意味する英語を語源に持ち、フォレンジック調査機関は、セキュリティ事故が起きた際に、端末やネットワーク内の情報を収集し、被害状況の解明や犯罪捜査に必要な法的証拠を明らかにする取り組みを支援するITソリューションを提供する機関です。
③ 現地の弁護士への業務依頼
現地の法律に基づいた法的なアドバイスを受けるために現地の弁護士を起用します。
例えば、個人情報保護法にあたる各国の法律は様々で、サイバー攻撃によりステークホルダーが被るリスクに対応するために、弁護士へ依頼するケースが多く見られます。EUのGDPR(日本の個人情報保護法に相当)は日本と比較してアップデートが早く、法規制に従いながら事故解決へ向かうためには、法律家との連携が必須です。
外部専門機関との連携で配慮すべきこと
各種ステークホルダーへ向けた事故発生の通知とお詫びの手紙、顧客も含めたお問い合わせを集約するコールセンターの設置など、細かな対処が必要となる場合もあります。
また、サイバー攻撃に対する事故解決には、高度なITリテラシーが求められます。特に、フォレンジック調査機関とのコミュニケーションにおいては、専門用語が多用される調査報告書を理解する必要があり、経営者またはサイバーリスク担当責任者では難しい場合があります。その際は、フォレンジック調査機関と円滑なコミュニケーションと取るための専門機関を別途アレンジすることもあります。
コンサルティング会社をはじめとした
外部機関の選定は、専門性に重点を
海外におけるサイバーインシデント対応は、高度なITリテラシーが求められるとともに、国や地域ごとに異なる法規制や商慣習に従ってプロセスを進める必要があるため、日本における事故以上に困難な場面に直面する可能性があります。サイバーインシデントの発覚から一刻も早いアクションが求められることは、日本も海外も同様です。
AIG損保は、世界のどの拠点で、いつサイバーインシデントが発生しても迅速な初動対応を取れるように、コンサルティング会社、フォレンジック調査機関、弁護士など、サイバーインシデント対応に必要な各専門機関の候補を平時から選定しておき、有事の際に迅速なチームビルディングができる備えをしておくことが重要と考えます。
掲載情報はすべて掲載時のものです。
ESG経営のリスクマネジメント シリーズ
無断での使⽤・複製は禁じます。
お客さまのグローバルビジネスに、世界基準の知見とノウハウを
経験豊富な担当者が、グローバルリスクマネジメントに関するアドバイスから
グローバル保険プログラムの構築まで、お客さまのニーズにあわせたソリューションをご提供します。
まずはご連絡ください。