ビジネスにおけるサイバーリスクの考え方

ビジネスにおいてデジタルトランスフォーメーションが進む昨今、サイバーリスクも無視できなくなっています。

ネットワークの進化に伴って、サイバーリスクもさらに増しており、複雑になりつつあるのす。

ビジネスにおいて無視できない、サイバーリスクの考え方について解説します。

ネットワークとサイバーリスクの関係

近年、業務にネットワークを利用しない企業はほぼないでしょう。

パソコンを使用するのが当たり前になり、データもデータベース化されて外出中でもアクセスできるようにしていることが多くなっています。

企業の業務は、ネットワークの進化に伴い効率化されています。

かつてはダイヤルアップで従量課金制、56kbpsの速度しか出なかったネットワークも、今は定額制の常時接続、速度も最大10Gbpsと高速化された光回線が主流となっています。

社内でもネットワークを構築して相互のパソコンにアクセスできるようにして、データを簡単にやり取りできるようになっています。

必要なデータを、誰でも瞬時に入手できるようになっているのです。

外出時も、スマートフォンやタブレット、ノートPCなどを使用して社内のデータベースにアクセスし、必要なデータを得ることができるようになっています。

ビジネスのスタイルは、ネットワークの進化で大きく変化しているのです。

しかし、ネットワークの進化は便利なことばかりではありません。

高速化されたネットワークは、サイバーリスクの増大を招いたのです。

ネットワークを通じて、データを吸い出すためにかかる時間も、短時間になってしまっています。

ネットワークが常時接続となったため、セキュリティ対策が十分でなければ外部からいつでもアクセスできる状態になっています。

ダイヤルアップのように、必要な時だけ短時間接続するのとは違って、常に危険にさらされているといえるでしょう。

また、社内ネットワークが完備されていると、１台のパソコンにウイルスが感染した場合社内のすべてのパソコンへと広がってしまう危険性があります。

社内のデータがすべて流出し、事業もストップしてしまうリスクがあるのです。

外出中にネットワークを介して会社のデータにアクセスするときに、公衆無線LANを利用しているとセキュリティが低いため、ハッキングを受けてしまう可能性もあります。

自分の端末だけではなく、社内のネットワークまで乗り込まれてしまうこともあるでしょう。

ビジネスにおいて、サイバーリスクはもはや避けられないものとなっています。

企業を経営する上で、対処方法を考えることは重要となっているのです。

対策を万全にするには、新しい手口をいち早く知り、専門家に相談するのがおすすめです。

経営層はサイバーリスクをどう考えるべきか

ビジネスとサイバーリスクは切り離せないものとなりつつありますが、日本の経営層はサイバーリスクについてどう考えているのでしょうか？

アンケート結果から、考え方を推察してみましょう。

欧米の企業では、情報セキュリティ対策の最高責任者であるCISOという役職を設けて、サイバーセキュリティ対策に取り組むケースが増えています。

実態調査として、欧米と日本の企業を対象にアンケートが行われているため、参照してみましょう。

情報セキュリティ対策のために会議を行っている企業の割合を見ると、日本は58％でした。

過半数なので多いように思うかもしれませんが、アメリカでは83％、欧州では72％と、日本よりもかなり高いのです。

また、CISOのように情報セキュリティ対策の最高責任者を設けているかという質問に対して、日本の企業では専任で設けていると回答したのは28％、兼任が35％でした。

米国では79％、欧州では67％が専任、兼任はそれぞれ16％と18％と、8割以上の企業が最高責任者を設けているのです。

欧米と比較すると、日本の情報セキュリティ対策はかなり遅れているといえるでしょう。

対策が進まないのは、経営層がサイバーリスクについて把握していないことも原因の1つです。

経営層にサイバーリスクの重要性を伝えるには、どうしたらいいのでしょうか？

まず、サイバーセキュリティ経営ガイドラインを元に話し合いましょう。

サイバーセキュリティ経営ガイドラインは、経済産業省とIPAが策定したものです。

内容の前提となっているのは、経営者が率先してサイバーセキュリティに取り組むことなので、なぜ重要なのかを理解してもらうために役立つでしょう。

まず確認したいのが、経営者が認識するべき3原則です。

経営者は、サイバーセキュリティリスクを認識したうえで、リーダーシップを持って対策する必要があります。

企業の成長のためにも、セキュリティ投資をするべきでしょう。

また、自社だけではなく、ビジネスパートナーや委託先なども含めたサプライチェーンを対象としてセキュリティ対策をしなくてはいけません。

総合的な対策をすることで、万が一の事態も防ぐことができます。

平時だけではなく、緊急時でもサイバーセキュリティ対策の情報開示などを行い、関係者と円滑にコミュニケーションをとる必要があります。

インシデント発生時に、普段から備えておきましょう。

サイバーセキュリティ経営について、重要な10項目も定められています。

最高責任者を任じたうえで、サイバーセキュリティリスクについて認識し、方針を決めて、管理体制を構築し、予算を確保し、対応する仕組みを構築します。

また、対策する上でのPDCAサイクルを実施し、緊急対応できるよう体制を整備し、被害に備えて復旧体制を整備し、サプライチェーンを含めて対策を講じ、情報共有活動に参加して攻撃情報を入手するべきとされています。

ビジネスにおいてサイバーリスクへの対策をするには、まず経営層が理解を示す必要があるのです。

ガイドラインに沿って、必要な対策を講じるようにしましょう。

まとめ

今や、ビジネスにおいてネットワークは欠かせないものとなり、サイバーリスクも避けては通れない道となっています。

サイバーリスクはあるものとして、サイバーセキュリティ対策を講じておく必要があるでしょう。

しかし、サイバーセキュリティ対策を講じるには、まず経営層が理解を示す方法があります。

経営層は、ガイドラインを参照しながらサイバーリスクの脅威を把握し、サイバーセキュリティ対策の重要性を理解しましょう。