GTM-MML4VXJ
Skip to main content
  1. ホーム >
  2. サービス >
  3. ビジネス&テクノロジーソリューション >
  4. セキュリティ >
  5. セキュリティ >
  6. 経営戦略としてのサイバーセキュリティ対策セミナーレポート

経営戦略としてのサイバーセキュリティ対策セミナーレポート

経営戦略としてのサイバーセキュリティ対策セミナーレポート

2016年9月2日、東京・品川シーズンテラスカンファレンスにて「経営戦略としてのサイバーセキュリティ対策セミナー」が開催されました。

近年、増加する企業へのサイバー攻撃は、事業継続の観点から見ても、大規模な自然災害に匹敵する脅威とされます。昨年末、経済産業省は「サイバーセキュリティ経営ガイドライン」を策定し、経営層に対して警鐘を鳴らしました。

セミナーでは、このガイドラインの策定に加わったデロイトトーマツ リスクサービスの岩井 博樹氏、インテルセキュリティから佐々木 弘志氏を講師に迎え、ガイドラインの勘所や取り組み方、経営層への訴求ポイントについて、具体例を交えながら解説していただきました。
そして最後に、富士通システムズ・イーストから、標的型攻撃の現状と対策ポイント、セキュリティレベル向上に向けて、富士通が提供するソリューションをご紹介しました。

セミナー当日に会場で配布された講演資料を無料で配布しています。講演内容をより詳しく知りたい方は、こちらより資料をご覧ください。

講演資料をダウンロード【無料】

講演資料

【第1部】 経産省サイバーセキュリティ経営ガイドラインの背景と重要ポイントの解説

事例から浮かびあがるセキュリティ体制の課題

岩井 博樹 氏の写真
デロイトトーマツ リスクサービス株式会社
サイバーリスクサービス シニアマネージャー
岩井 博樹

岩井氏のセッションでは、まずマルウェアによるサイバー攻撃の事例をもとに、ガイドラインが求めるサイバーセキュリティ経営のあり方が示されました。

この事例では、企業がサイバー攻撃を受けてから対応を開始するまでに5日、詳しい被害の内容を確認するまでに59日もかかっており、さらに監督官庁や関連企業への報告はその後2週間以上を要しています。さらに、記者会見によってインシデントを公表したのは、3か月後と、事後対応にかなりの日数を要しています。

ガイドラインでは【サイバー攻撃を受けた場合に備え、被害発覚後の通知先や開示が必要な情報項目の整理をするとともに、組織の内外に対し、経営者がスムーズに必要な説明ができるよう準備しておくこと】とされており、こういった体制が整備されていなかったことがうかがえます。

その他、報道からの情報をもとに検証すると、当該企業では、ガイドラインが求める指針への対応が十分ではなかったと思われます。

この事例からガイドラインが求める要件とは、サイバー攻撃はもはや避けられないリスクであるとした上で、「インシデント発覚後、経営者にすみやかに状況報告をし、スピーディーな意志決定と事後対応が可能なしくみを整備すること」だといいます。

中長期を見据えた対策の進め方

インシデント対応のタイムライン

次に、ガイドラインで示された【サイバーセキュリティ経営の3原則】と【サイバーセキュリティ経営の重要10項目】について、どのように実施していけばよいかを解説していきました。

ポイントは以下の5点といいます。

  1. サイバー攻撃の現状に鑑みた体制、セキュリティポリシー等の整備
  2. セキュリティ対策の対象範囲は自社のみならず、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先まで含まれる
  3. サイバーセキュリティ対策の継続的実施と情報開示
  4. 中期ロードマップの策定
  5. 事後対応が速やかにできるような体制、手順等の整備

無理なく体制整備を進めていくためには、「すべてのリスクに対応することは不可能なので、自社がどのようなサイバー脅威にさらされているかを想定し、強化すべき対策に優先順位をつけること、めざすべき対策レベルをどこに置くのかを明確にすること」というアドバイスがありました。

現状のガイドラインには、サイバーセキュリティ経営の方向性が示されているだけで、その責任者とされるCISO(注1)が実施すべき具体的な内容は記載されていません。
とはいえ、今後、ISMS認証に上乗せする認証制度の導入が見込まれており、「ステークホルダーへの信頼、事業継続等の観点からも、最低限の対策は実施していくべき」とまとめました。

(注1)CISO(シーアイエスオー):Chief Information Security Officer
経営陣の一員、もしくは経営トップからその役を任命された、情報セキュリティ対策を実施する上での責任者

セミナー当日に会場で配布された講演資料を無料で配布しています。講演内容をより詳しく知りたい方は、こちらより資料をご覧ください。

講演資料をダウンロード【無料】

講演資料

【第2部】 経営層がサイバーセキュリティに取り組まなければならない3つの理由

なぜ経営者はサイバーセキュリティに取り組まなければならないのか

佐々木 弘志 氏の写真
インテルセキュリティ(マカフィー株式会社)
サイバー戦略室 シニア・セキュリティ・アドバイザー
佐々木 弘志

なぜ「経営層」がサイバーセキュリティに取り組まなければならないのか

ガイドラインでは、多くの企業がサイバーセキュリティに対して十分な対策ができていない原因の一つに、諸外国に比べて日本の経営者の意識不足を挙げています。なぜなら、セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話は積極的に上がりにくい、からです。
しかし、サイバー攻撃などにより情報漏えいや事業継続性が損なわれるような事態が起こった後、企業として迅速かつ適切な対応ができるか否かが会社の命運を分ける、と指摘し、経営層のリーダーシップの下、対策を強化することを求めています。

そこで、第2部では、なぜ経営者がサイバーセキュリティ対策に取り組まなければならないのか、事例を交えて詳説。その上で、今サイバーセキュリティに立ち向かうために有効な手法として、インテルセキュリティが提案する【脅威対策ライフサイクル(セキュリティのPDCA)】という考え方が紹介されました。

では、経営層がサイバーセキュリティに取り組まなければならない理由とは。
大前提として、経営層は【事業の存続、成長】にコミットする立場にあるということです。サイバーセキュリティは、この【事業の存続、成長】に重大な影響を及ぼします。
なぜなら、サイバーセキュリティは【1. 経営リスク】であり、【2. 組織全体の問題】であり、【3. 投資】だからです。

それぞれ具体的にはどういうことでしょうか。
国内外で起こった情報漏えい事件の例を見ると、インシデントの発覚後、株価の暴落、信用失墜、賠償金による赤字転落など、事業継続に大きなダメージを被る結果となっています。サイバーセキュリティ対策を怠った場合、どれほど重大な【経営リスク】を招くか、経営層は認識していなければならないのです。

また、サイバーセキュリティは、情報システム部門だけの課題ではなく、経営層の理解の下、予算や人材育成など、継続的に対策可能な組織設計が不可欠という点から【組織全体の問題】といえます。

さらに、サイバーセキュリティは、積極的なITの利活用を促進し、利益につながる【投資】と捉えることができます。

つまり、サイバーセキュリティは、経営層が向き合わなければならない重要な経営課題というわけです。

インテルセキュリティが提案する脅威対策

Protect、Detect、Correct、Adapt

インテルセキュリティでは、Threat Defense Lifecycle(脅威対策のライフサイクル)というセキュリティの【PDCA】を回し、防御から検知・復旧、環境への適用までを1つのライフサイクルとして捉え、循環する仕組みを提案しています。

セキュリティのPDCAとは

  • Protect(防御):既知の脅威だけでなく、未知の脅威に対しても防御を広げる
  • Detect(検知):先進的な脅威情報の活用と分析で、兆候を検出
  • Correct(復旧):調査と連動し、優先すべき対応活動を迅速に実行
  • Adapt(適応):日々の活動で得た洞察を統合システムにフィードバック

このPDCAサイクルが適用された環境では、防御力を向上させながら、検知、復旧に掛かる時間が劇的に短縮されるとのこと。自社で検証した結果、従来の手法では24時間かかっていたマルウェアによるインシデントへの対応時間が、わずか7分で済んだといい、サイバーセキュリティの強力な武器として期待されます。

セミナー当日に会場で配布された講演資料を無料で配布しています。講演内容をより詳しく知りたい方は、こちらより資料をご覧ください。

講演資料をダウンロード【無料】

講演資料

【第3部】 サイバーセキュリティを強固にするために。富士通からのご提案

標的型攻撃に有効なセキュリティ対策とは

森永 景介 氏の写真
株式会社富士通システムズ・イースト
ITソリューション本部 クラウドソリューション事業部
セキュリティソリューション部 プロジェクト部長
森永 景介

現在、1分毎に出現するマルウェア数は3,000以上とされ、その数は爆発的に増加しています。また、検知を逃れるため、侵入手口も巧妙化しています。
そういった現状を踏まえ、第3部では、サイバーセキュリティ対策の課題と、富士通のセキュリティソリューションをご紹介しました。

サイバー攻撃のうち6割を占めるといわれるのが、メールやWebサイトにマルウェアを忍ばせ、機密情報を盗み取る標的型攻撃です。

標的型攻撃に対しては、従来のファイヤーウォールのような入口対策だけでは防ぐことができません。侵入されることを前提として、機密情報を外に出さないための出口対策や内部ネットワーク対策、すばやく侵入を検知するしくみなど、複数のセキュリティ製品を多層的に配置する必要があります。

一方、検知の精度を上げれば、分析すべき情報量が増大し、人的リソースの不足から重大インシデントの発見が遅れてしまう可能性が出てきます。そこで、重要となってくるのが、CSIRT(注2)やSOC(注3)といった体制作りによるセキュリティインテリジェンスの強化です。

ガイドラインでも、サイバー攻撃を受けた場合に備えた準備として、CSIRTの必要性をあげています。

富士通では、入口・出口対策、社内ネットワーク対策、端末対策に加え、運用サポートまでを含めたサービスを組み合わせ、お客様それぞれの課題、現状、コストに合わせたサイバーセキュリティ対策をご提案しています。

(注2)SOC(ソック):Security Operation Center
組織内に導入されたセキュリティデバイスの運用管理と24時間365日の常時セキュリティ監視、分析とリアルタイムのインシデント対応などを実施する専門組織

(注3)CSIRT(シーサート):Computer Security Incident Response Team
組織内の情報セキュリティ問題を専門に扱うインシデント対応チーム

セミナー当日に会場で配布された講演資料を無料で配布しています。講演内容をより詳しく知りたい方は、こちらより資料をご覧ください。

講演資料をダウンロード【無料】

講演資料

お問い合わせはこちら

Webでのお問い合わせ

入力フォーム

当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

0120-933-200 富士通コンタクトライン(総合窓口)

受付時間 9時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)

GTM-5HNCF9