GTM-MML4VXJ
Skip to main content

English

Japan

  1. ホーム >
  2. コンサルティング事例 >
  3. コンサルティング事例 [サイバーセキュリティを推進するグループガバナンスの再構築営]

サイバーセキュリティを推進するグループガバナンスの再構築

概要

サイバーリスクの脅威が年々増す一方、完全な防御が困難であることが認識される中で、インシデント前提の考え方に基づいた危機対応能力の強化が公共部門、民間部門を問わずに求められている。このような環境変化を背景にCSIRT(インシデント対応チーム)の立ち上げが重要インフラ事業者を中心に進んでいる。

サイバーセキュリティを巡るこのような潮流の中、重要インフラ事業者でもあるA社様は、サイバーインシデントへの対応体制の構築と並行して、グループ全体のセキュリティガバナンスを再構築された。本稿では、サイバーリスクに対応するための、セキュリティガバナンスモデル再構築のコンサルティングについて紹介する。

課題

従来のセキュリティガバナンスの限界

1.インシデント発生前提の考え方

ビジネスにおけるICTの利活用の進展や依存度の高まりに伴い、サイバーリスクの脅威は年々高度化・複雑化しており、サイバーセキュリティの対応はビジネスにおける最重要課題の1つになりつつある。サイバーセキュリティにおけるレジリエンス力の要諦は「防御・検知・対応」だが、近年では「防御の困難性」を前提としたレジリエンス力の向上、具体的には「サイバーインシデントへの対処体制」の見直しが不可欠と認識されるようになった。求められるのは、サイバー攻撃によるビジネスへの影響の大きさを認識し、想定外の事態や動的な状況変化に適応できる組織能力を平時より備えておくことである。(図1)

2.従来のセキュリティガバナンス

従来の情報セキュリティの取り組みは、PCの紛失や操作ミスなどの人為的偶発的脅威に対する規程整備や従業員教育などによる人的対策、ロッカー施錠や入退管理などの物理的対策を現場部門に徹底させる「防御」に重点を置き、それらの取り組みを組織全体に浸透、定着させるためのPDCAサイクル、いわゆるISMS(情報セキュリティマネジメントシステム)として運用されてきた。

図1 富士通総研の考えるセキュリティレジリエンス
図1 富士通総研の考えるセキュリティレジリエンス

このISMSは、一般的には年1回のモニタリングにより点検・改善するサイクルである。また、グループを構成する子会社に対しても親会社のセキュリティ監査チームが年1回程度のサイクルで定型的なチェック項目について点検・改善指導を行うのが多くの会社で採られる方法である。

A社様においても同様であり、グループ全体を対象とした「Aグループ情報セキュリティ方針」を制定し、本体の各部門とグループ子会社各社に対してそれぞれ年1回のチェックシートを用いたモニタリングを実施されていた。また、同時にAグループの情報システム子会社がファイアーウォールや侵入検知、ウイルス対策、認証システムなど技術的対策をAグループの共通ネットワーク基盤の運用業務の1業務として担い、「防御」という観点では、グループ全体の水準の維持と運用により、グループ全体のセキュリティレベル向上を進めてこられた。

しかし、このような従来の情報セキュリティのガバナンスモデルでは「サイバーインシデントへの対応」に際しては有効に機能しないことが明らかになってきており、これは最近メディアでも取り沙汰されているX社事案からも学ぶことができる。

3.最近の事案から学ぶこと(X社における標的型攻撃による個人情報流出)

今年6月に公表されたX社における標的型攻撃の事案について、「サイバーインシデントの対処体制」の観点より考察する。

図2 X社事案におけるインシデント対応のタイムライン
図2 X社事案におけるインシデント対応のタイムライン

この事案では、サイバー攻撃者の侵入(マルウェア感染) 後から5日目という比較的短期間で不審な通信を確認し、X社の情報システム子会社が外部ベンダーと対応の協議を始めており、「検知」という観点では、迅速な動きであったと評価されている。一方で、その後のインシデント対応が後手に回り、企業ブランドを傷つける事態となっている。(図2)

X社では、グループCSIRTと情シス子会社CSIRTを設置していたが、各CSIRT間もしくはグループCSIRTと全社的な危機管理チームとの間での役割分担・連携/エスカレーションルールが定まっておらず、担当役員へのエスカレーションに2か月、外部公表まで、実に3か月を要している。この事案におけるインシデント対応の問題点は以下の3つであることが伺える。

(1)グループCSIRTと子会社CSIRTの連携、役割分担

(2)顧客や監督官庁へのリスクコミュニケーション態勢

(3)意思決定のためのエスカレーション態勢

前述のとおり、従来の「防御」としての情報セキュリティでは、PDCAを年間サイクルで運用することで問題はなかったが、ひとたびサイバー攻撃によりインシデントが発生すると、時々刻々と変化する状況下で、情報収集・分析、意思決定の繰り返しが必要となるが、従来の態勢では機能しないことが露わになった。このような従来のセキュリティガバナンスの課題をA社様も認識され、サイバーリスクに対応するためのセキュリティガバナンスモデルの再構築に取り組まれる契機となった。

解決策

サイバーリスクに対応するためのセキュリティガバナンス

1.サイバーリスクへの対応

サイバーリスクは前述のとおり、インシデント発生を前提に考える必要があるが、その際にインシデント対応チーム(いわゆるCSIRT)が担うミッションは、被害拡大の抑制(ダメージコントロール)と風評被害の抑制(レピュテーションマネジメント)である。被害拡大や風評被害の抑制に際しては、原因特定と被害状況把握のための情報収集、分析等が必要となるが、これらの一連の役割は一般的に企業グループの中で以下のように分担されている場合が多い。

  • 危機事象への対応
    • 対策本部…総務部門/危機管理部門
    • 危機広報…広報部門、法務部門
  • 情報セキュリティ事故…情報システム部門基盤担当グループ
  • ネットワークの監視…情報システム子会社/ICTベンダー

A社様でも従前より危機管理への体制は総務部門が主導し、危機レベルに応じて現場部門内に対策本部を立ち上げる体制となっており、さらにその中でも情報セキュリティに関する事案については情報システム部門が主体となる、といった体制が整備されていた。しかし、このケースでの情報セキュリティに関する事案は主に PC等の紛失や盗難などであり、高度なサイバー攻撃は想定されていなかった。したがって、ネットワークを監視している情報システム子会社やICTベンダーとの連携が想定されていないほか、システムやネットワークの能動的な停止などの意思決定に係る取り決めは未整備であった。

2.セキュリティガバナンスモデルの再構築
(組織内CSIRTの機能配置)

再構築の支援に際して富士通総研では、まずA社様における既存の取り組みを把握、整理しながらグループ全体として実装すべきCSIRT機能を抽出したうえで、その役割をどの部門が担うべきかの議論をA社様と行うといった段階的な検討により進めた。この際、特に論点となったのは、「ガバナンスの強度」である。従来のセキュリティガバナンスでは、グループ会社に対しては、比較的緩いケース(自立的取り組みを促すための支援やモニタリングを中心に実施)が多く見受けられたが、サイバーリスクに関しては特定のグループ子会社における脅威がグループ全体に影響を及ぼしかねないことまでを考慮し、より強固なガバナンスモデル(早期の親会社へのエスカレーション体制など)の構築を志向した。(図3)

一般論として、グループ子会社を複数擁する企業グループの場合は階層型の組織内CSIRTの整備が想定されるため、グループ内に配置する各CSIRTのサービススコープの整理(責任範囲の明確化)が必要となる。A社様においても「対象部門」×「対象システム」の“面のスコープ”に「危機レベル」を加えたマトリクスにより、責任分界点を明確化することで、危機時の迅速かつ適切な意思決定が行える体制を整備した。

このような組織内CSIRTに関しては、JPCERT/CCから発 行されている「CSIRTマテリアル」などのガイダンスが多く出ているが、企業グループ全体のセキュリティガバナンスの再構築は、これまでの情報セキュリティや危機管理の取り組みなど、個社固有の状況も踏まえたうえで、検討・整備することが肝要である。

組織内CSIRTの機能配置

成果

演習を通じたサイバーセキュリティの実効性向上

1.今後取り組むべき2つの課題

ここまで企業グループにおけるセキュリティガバナンスモデルの再構築について紹介してきたが、今後のサイバーセキュリティへの取り組みについては、2つの課題が挙げられる。

1つ目は、サイバーリスクによる事業インパクトの展開である。自社にどのようなサイバーリスクが潜在的にあり、顕在化したときの自社事業への影響がどの程度あるのかをあらかじめ把握したうえでの、インシデント対応における意思決定が求められる。富士通総研ではサイバーインシデント対応の模擬演習を定期的に実施しているが、情報システム部門のメンバーだけで演習を行うと、多くの場合システムやネットワークの停止判断になってしまう。しかし、実際の意思決定は事業を担う主管部との協議が不可欠である。X社事案においても検知後の原因追及や影響調査は速やかに行われていたが、意思決定については取り決めがなかったため、ネットワーク停止のタイミングを逸している。

2つ目は、グループ内に擁する情報システム子会社やICTベンダーとの平時からのサイバーセキュリティ推進体制の整備である。

多くの組織では、情報システム子会社やICTベンダーは運用委託業務の1業務として、監視業務やログ収集等を委託しており、危機管理としての認識が十分でないケースが多い。例えば、同一グループ内の親会社と子会社が個別に運用業務を委託する場合、ログ収集の頻度・方法にもバラツキがあり、インシデント発生時に原因特定ができなかったり、時間を要したりということも起こっている。したがって、子会社のネットワーク監視がどのように行われているかまで親会社は統制をかけることが今後必要となる。

2.サイバーセキュリティ分野における富士通総研の取り組み

サイバーセキュリティに関する課題抽出や対策の検討方法として、富士通総研では事業継続コンサルティングで培った演習ノウハウを適用している。特にサイバー演習では、富士通グループで蓄積してきた最新の攻撃動向もシナリオに反映することで、お客様のセキュリティレジリエンス向上に努めている。

また、制御系システムを持つ企業では、これまでは全く管轄外であった制御系システムのサイバーセキュリティについても一定のガバナンスが必要となってくる。近年の制御系では、Windowsなどの汎用系OSの採用もあり、それらの脆弱性についてはCSIRTが情報系と併せて管理するだけでなく、全社的観点でのセキュリティ投資や危機時の意思決定の取り組みも含めた新たなセキュリティガバナンスの中で管理することが必要になる。特にIoTの活用が進めば進むほど、サイバーリスクを想定した企業グループ全体、さらにはサプライチェーンまで俯瞰したセキュリティガバナンスモデルの再構築が求められる。

富士通総研では、ICTを安心して利活用いただけるよう、今後もお客様のサイバーセキュリティの取り組みをご支援していく。

掲載日:2018年3月13日
(コンサルティング本部 ビジネスレジリエンスグループ プリンシパルコンサルタント 藤本 健)
(コンサルティング本部 ビジネスレジリエンスグループ チーフシニアコンサルタント 三浦 良介)


関連リンク

本事例中に記載の数値、社名・固有名詞等は掲載日現在のものであり、このページの閲覧時には変更されている可能性があることをご了承ください。

お問い合わせ・ご相談はこちら

当社のコンサルティング・サービス内容について、ご不明な点はございましたか?
経営やビジネスに関するお悩みがございましたら、以下のお問い合わせ方法からお気軽にご相談ください。

お電話でのお問い合わせはこちら

富士通総研お客様総合窓口
03-5401-8391

ご利用時間:8時40分から17時30分まで
(月曜日から金曜日、祝日を除く)
(注)電話番号はよくお確かめのうえ、おかけください。

オンラインでのお問い合わせはこちら