GTM-MML4VXJ
Skip to main content
  1. ホーム >
  2. サービス >
  3. ビジネス&テクノロジーソリューション >
  4. セキュリティ >
  5. セキュリティ >
  6. 経営戦略としてのサイバーセキュリティ「人と組織のセキュリティ耐性をどう高めるか」
    ~経営ガイドライン改訂のポイント解説とサイバー攻撃体感ワークショップ~ 講演レポート

経営戦略としてのサイバーセキュリティ「人と組織のセキュリティ耐性をどう高めるか」
~経営ガイドライン改訂のポイント解説とサイバー攻撃体感ワークショップ~ 講演レポート

経営戦略としてのサイバーセキュリティ「人と組織のセキュリティ耐性をどう高めるか」~経営ガイドライン改訂のポイント解説とサイバー攻撃体感ワークショップ~ 講演レポート

2018年3月7日、東京・品川ラーニングセンター内「CYBERIUM/品川」にて「経営戦略としてのサイバーセキュリティ『人と組織のセキュリティ耐性をどう高めるか』~経営ガイドライン改訂のポイント解説とサイバー攻撃体感ワークショップ~」が開催されました。

デジタル化の進展によりサイバー脅威がますます高まる中、2020年に向けてもさらにサイバー攻撃が多様化していくと言われています。
セミナーでは、経済産業省が策定した「サイバーセキュリティ経営ガイドライン Ver2.0」の解説をはじめとして、実際にサイバー攻撃を体感するワークショップを通じて、組織のセキュリティ耐性(=体制)をどう高めるかということを皆様と考えてまいりました。
そして最後に、富士通ラーニングメディアから、組織のセキュリティを支えてリードするエンジニアの育成に向けた、富士通のセキュリティ人材育成サービスをご紹介しました。

セミナー当日に会場で配布された講演資料(第1部)を無料で配布しています。講演内容をより詳しく知りたい方は、こちらより資料をご覧ください。

講演資料をダウンロード【無料】

講演資料

【第1部】経産省「サイバーセキュリティ経営ガイドライン Ver2.0」重要ポイントの解説

増加し続ける標的型攻撃の脅威

岩井 博樹 氏の写真
デロイトトーマツ リスクサービス株式会社
シニアマネージャー
岩井 博樹 様

近年のサイバー攻撃の動向としては、WannaCry(注1)やデータ通信カードを経由してのソフトウェアの脆弱性の悪用などが増加しています。クラウド関連サービスでもユーザ認証情報等が漏れ、なりすましログインが散見されています。手口は多様だが、いずれも標的型攻撃に分類されるものです。

このような状況の中、サイバー攻撃への完璧な防御対策は不可能であると言っても過言ではありません。いかに早く発見し、事業継続への影響を最小限に抑えるかが重要となってきています。

ある空港ラウンジでの音声システムがハッキングされた事案があります。これは、特定の国のハッカー集団が政府への抗議のために行ったと言われています。その結果、技術的調査(フォレンジック)、顧客への注意喚起と顧客情報保護、広報対応など、いわゆるインシデント対応コストが突発的に発生し、空港側は大きな損害を被ったことは容易に想像ができます。
一方、表面化されにくいコストが突然発生することもあります。リリース前の新製品が突然他国のライバル企業から発表されるといった、サイバー攻撃により知財がライバル企業に盗用された事案です。すべてを完璧に対策することは不可能ではありますが、対策しないにしてもどのようなリスクがあるのか事前に想定しておく必要があります。

日本で2015年頃から報道され注目を浴びつつあるのが、サプライチェーン攻撃です。これは、物理面の攻撃ではなく、ソフトウェア面でのサプライチェーンに対する攻撃を指しています。また、悪性コード入りアプリを生成するなどして先端企業に対する限定的な遠隔操作攻撃が行われ、先端技術を盗用しようとしたケースもあります。

このような背景を踏まえ、経営者としてはいかにサイバー攻撃から回復まで持っていくか、フレームワークをしっかりと固めることが重要です。パフォーマンスとのトレードオフになりますが、セキュリティ対策をどこまで行うか、事業内容と合ったリスク管理か、特に新ビジネスを行う際にはセキュリティリスクがつきものだが、すべて自前でやらずリスク移転はしているか、などの視点から想定しておくことが必要となります。

(注1)WannaCry(ワナクライ)
Microsoft Windowsを標的としたワーム型ランサムウェア。2017年5月12日から大規模なサイバー攻撃が開始され、150か国の23万台以上のコンピュータに感染。

サイバーセキュリティ経営ガイドラインを読み解く

経済産業省が策定した「サイバーセキュリティ経営ガイドライン」の改訂版では「管理体制」「実装」「予防・検知・回復」「サプライチェーン対策」「情報共有」として重要項目が記載されています。“サイバー”が強調されていることと、「サプライチェーン対策」「情報共有」が別立てで記載されている点が、初版から大きく改訂となっています。

例えば「管理体制」における「サイバーセキュリティ対策のための予算・人材等の資源確保」。当社でも人材不足の問合せを多くいただきますが、内製化とのコストバランスを鑑みた上で、社内人材の育成とセキュリティ専門ベンダーの活用を検討していくべきでしょう。人材育成には情報セキュリティ部門のエンジニアだけでなく、広報担当など幅広く含まれてきます。「セキュリティパッチっていったい何?」といった担当も多いのが現状です。その他、ISMS観点で策定以降、見直されていないケースも多く、暗号化等も見直しが必要な企業もあるかもしれません。

「インシデント対応体制構築」はどうでしょうか。サイバー攻撃対策の演習を実施している企業は増えていますが、演習を企画した本部も含めて訓練をしているかなど危機管理の観点で、現場に加え、管理職以上も演習を行うとよいでしょう。BCP(事業継続計画)の観点では、前述の事例のように、知財を扱う分野において、どのようにリスク対策をとるか、中長期的な視点での復旧も求められます。

「サプライチェーン対策」では、対象はグループ企業をはじめ、ビジネスパートナーや運用委託先等も含まれてきます。インシデント発生時の保障内容等も検討しておく必要があります。

事業継続を目的とした周囲との連携強化がポイント

サイバー攻撃による侵害をゼロにすることは困難です。従来どおりサイバーセキュリティ体制の構築と整備をすることに加え、サプライチェーン全体でのセキュリティ状況を把握する仕組みや、情報収集と提供する場への参画など、周囲との連携強化をしてゆくことが重要です。

当日参加者のコメント

  • Ver.2.0のわかり易い説明に加え、国外の最新情報、リスクドリブンではなく脅威ドリブンの考え方など大変参考になりました。(金融業、部長職)
  • 取り組む作業を再認識できました。(流通業、課長職)
  • 全体感が把握でき、とてもよかったです。一つ一つの事柄について、もう少し背景をお教え頂けると尚良かったと思います。(流通業、一般職)

セミナー当日に会場で配布された講演資料(第1部)を無料で配布しています。講演内容をより詳しく知りたい方は、こちらより資料をご覧ください。

講演資料をダウンロード【無料】

講演資料

【第2部】サイバーセキュリティ体感ワークショップ~経営戦略にサイバーセキュリティを盛り込むための考え方とは~

キーワードは「つながるセキュリティ」と「脅威を正しく理解する」こと

佳山 こうせつ 氏の写真
富士通株式会社 サイバーセキュリティ事業戦略本部
サイバーディフェンスセンター セキュリティマイスター
佳山 こうせつ

第1部の講演を踏まえ、第2部ではワークショップ形式で経営戦略にサイバーセキュリティを盛り込むための考え方について、「イノベーション」×「セキュリティ」という視点から参加者同士でディスカッションしていただきました。

イノベーティブな新サービスであっても、それをサイバー攻撃により悪用されるケースがあります。「つながる」時代の現在、どのように悪用されるのか――その手口や脅威を予め想定することで、「セキュリティ・バイ・デザイン」による安心安全な新サービスの創出という視点が経営にも強く求められています。

ワークショップでは、昨今のサイバー脅威事案をインプットにしつつ、サイバーレンジ(教育目的の仮想演習場)での攻撃と感染の体験、そして自動運転をテーマにしたセキュリティ・バイ・デザインのワークショップを行いました。皆さん戸惑いつつも「新たな価値と安心安全」を実現するためのアイデアについて活発に議論しながらワークショップに取り組まれていました。

当日参加者のコメント

  • 外部からの攻撃ツールを体験することで脅威を身近に感じました。セキュリティがイノベーションにつながるという発想は良いと思います。(流通業、一般職)
  • セキュリティ・バイ・デザインの重要性をより理解できました。(金融業、部長職)
  • 参加型ワークショップが良かった。攻めのセキュリティに共感。(製造業、リーダー職)

ワークショップの様子

ワークショップの様子

【第3部】組織のセキュリティを支え、リードするエンジニアの育成を!~富士通のセキュリティ人材育成サービスのご紹介~

第3部では、人と組織のセキュリティ体制を高めることに貢献する富士通のセキュリティ人材育成サービスをご紹介しました。経営を支えるCSIRTコマンダーを育成するデジタルビジネスカレッジコースや、第2部のワークショップで体験したサイバーレンジ活用の研修コースなど、豊富な品揃えでお客様のセキュリティ体制の強化に貢献いたします。

デジタルビジネスを加速する人材育成・研修サービス「FUJITSU Digital Business College」

富士通セキュリティマイスター研修シリーズ

国産サイバーレンジ(教育目的の仮想演習場)を配した空間「CYBERIUM/品川教室」

セキュリティマイスター育成で実践した人材育成ノウハウを盛り込んだ研修を最新のテクノロジーとともに学ぶことができます。様々な価値観を持った人と意見をぶつけ合い解決策を考え抜くためのリアルな場や、国産技術で構築したサイバーレンジを活用してサイバー脅威を体験し、訓練を通じて新ビジネス創出のチャンスに変えてゆくための発想力を養う場を提供する空間です。

セミナー当日に会場で配布された講演資料(第1部)を無料で配布しています。講演内容をより詳しく知りたい方は、こちらより資料をご覧ください。

講演資料をダウンロード【無料】

講演資料

お問い合わせはこちら

Webでのお問い合わせ

入力フォーム

当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

0120-933-200 富士通コンタクトライン(総合窓口)

受付時間 9時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)

GTM-5HNCF9