日本でも企業の経営幹部が、情報漏洩やプライバシー管理の説明責任の矢面に立たされる場面が急増しています。サイバーセキュリティは、もはや単なる技術的な問題ではありません。今日の企業幹部は企業の収益や成長戦略、顧客や株主、そして従業員の満足度に加えて、情報漏洩がもたらすリスクについても責任を負っています。

攻撃の範囲と威力を増しながら、より検知が難しくなっているサイバー攻撃。企業は、イノベーション、成長、収益を犠牲にすることなく、クリティカルなビジネス情報を保護するために、経営幹部の関与と意思決定により、抜本的な対策を講ずる必要に迫られています。

しかしながら、多くの経営幹部や役員会のメンバーは、サイバーセキュリティの知識や企業が直面しているサイバー攻撃リスクに対する情報が圧倒的に不足しているため、情報漏洩等の被害を最小限に抑え、正しいリスク管理を自社のビジネス戦略に取り込む方法についてもご存知ありません。

多くの日本企業では、サイバーセキュリティをテクノロジーの問題として取り扱っていて、企業のセキュリティ対策をテクノロジーの部署に一任してきました。経営幹部は、しばしば自社のIT/セキュリティチームに対して、自社が直面しているサイバーセキュリティの脅威を「解決」するよう指示していました。

また、日本企業では、伝統的に自社のネットワークに高い壁を構築することを、サイバー攻撃の主な対策としてきました。しかし、優秀なハッカー達は、企業の防御策の中に脆弱性を見つけ出し、本物と見分けがつかないフィッシングメールなどにより、企業内に侵入しています。いくら高い壁を作っても、高い能力と強い意志を持つハッカーに狙われた場合、企業ネットワークへの侵入は不可避です。

今や企業はサイバーセキュリティを、組織全体のリスク管理の一部であり、地震などあらゆる他のリスクと同様に位置付ける必要があります。サイバー攻撃に対するしっかりしたリスクベースの考え方を持つ企業は、被害を受ける機会を減らすだけでなく、戦略上の優位性を高めることで、そのメリットを顧客やビジネスパートナー、そして株主と従業員に提供することが可能となります。

貴方の会社では、取締役会の議題にサイバーセキュリティを取り上げていますか?会社全体の課題としてサイバー攻撃に対応するためには、経営幹部が継続的にIT/セキュリティチームと対話し、セキュリティ戦略を練り、リスクとコストとの間で適切な判断を行う必要があります。しかし会社が直面しているサイバーリスクに関する正しい理解なしには、費用と時間、人的リソースをどの分野に集中させるかを決定することが困難であるため、多くの場合、決して効果的とは言えないソリューションが選ばれています。 

米国では、National Institute of Standards and Technology’s (NIST) Cybersecurity Framework と呼ばれる、ID、保護、検知、応答、回復という5つの主要機能に基づいて構築されたセキュリティのガイドラインがあり、このフレームワークを採用することは米国政府機関にとって必須となっています。企業においてもこのフレームワークを適切に利用することで、自社のサイバーセキュリティ対策を、コストセンターから競争上の優位性へと転換できます。

また、正しい評価指標(KPI)を定義することで、経営幹部は企業全体のビジネスニーズに基づいたセキュリティ対策について、IT/セキュリティチームと定期的な対話を行い、企業全体のニーズに基づいたサイバーセキュリティの対策を打てるようになります。

近年、顧客情報の漏洩など、サイバー攻撃がコーポレートガバナンスに直接関係するような深刻な事態に発展するケースが増えています。多くの米国多国籍企業では、組織が直面しているサイバーリスクに関する責任は、すべての経営幹部が負うこととなっています。そのような企業では、しっかりしたサイバーセキュリティを確保できるだけでなく、政府との取引条件などでも、他社と比べ有利な立場を確保できています。

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606

ホワイトペーパー「すべての組織が狙われている」