情シスのかたち

powered by gin

サイバーセキュリティの監査とは?監査に使用するガイドラインなどを紹介!

サイバーセキュリティとは?

サイバーセキュリティとは、蓄積した技術データや従業員の個人情報などの機密情報サイバー攻撃マルウェア感染から守ることです。 犯罪者の攻撃技術は向上しており、あらゆる手段を使って情報盗取・データ破壊・データ改ざんなどを狙ってきます。

近年情報漏洩事件の被害総額は増えており、毎月のように企業の情報漏洩事件が報道されます。 情報漏洩が無くならないのは、犯罪者にとって企業の情報資産は利用価値が高い情報が多数集まっている宝の宝庫だからです。 社員・取引先・顧客の個人情報はダークウェブで売却すれば多額の金銭的利益を望めるだけでなく、クレジットカードや銀行口座の情報を盗取することで多くのお金を不正に得られます。

そのため、セキュリティソリューションの導入や犯罪者が仕掛けてくる攻撃手口などセキュリティ全般について学ぶことで、社員が利用するPCやスマートフォン、ネットワーク機器などにおける安全性強化や情報漏洩の予防に努めます。 サイバーセキュリティを行う理由は、今後のビジネスを安定的に継続していくためと情報漏洩による被害の回避です。

多くの企業が情報漏洩に関してナーバスになっており、一度でも情報漏洩が起きれば取引先や消費者の信用は失墜し、膨大な経済的利益を失います。 蓄積したノウハウや社員の個人情報を守るためにも、セキュリティソリューションの導入や優秀な人材の確保を積極的に行うことで、自社の情報資産を守る仕組みの強化に努めなければなりません。

情報漏洩が起きた場合の企業の影響

対象影響結果
内容
  • 従業員・顧客の個人情報
  • 企業の技術データ・ノウハウ
  • 取引先とのやりとり
  • 取引先・消費者からの信用低下
  • システムが復旧するまでビジネス機会の損失
  • 社員・顧客のクレジットカードや銀行口座の不正利用
  • 復旧までの多大なコストと労力が発生
  • 莫大な経済利益の損失
  • 取引先との取引量低下・停止
  • 消費者離れ
  • 市場での絶対的優位性の損失
  • 企業ブランドの失墜
  • 優秀な社員の流出

サイバーセキュリティが必要な3つの理由とは?

自社と取引先を守るために情報資産保護と時代の変化に対応するためにサイバーセキュリティ対策を行います。

機密情報、自社の情報資産を保護

多様なサイバー攻撃マルウェア感染への対策を強化する最大の目的は、自社の情報資産や機密情報を保護するためです。 情報漏洩が起きると取引先・消費者からの信用失墜による取引量低下のため売上が大幅に減少するだけでなく、企業を支える社員が流出する可能性もあるからです。 2020年8月に日本IBMが発表した調査では情報漏洩が起きると業務停滞からの復旧や取引機会の損失などを含め、1件当たり約4億5,000万円の被害が発生すると発表しています。

また、情報漏洩が起きた場合、これまで培ってきたノウハウが流出して他社に技術をコピーされたり、強みを潰すための商品開発をされたりして、以前のような市場での優位性を保てなくなります。 そして、社員の個人情報を盗取された場合は社員の不信感が高まって離職の原因となり、企業にとって大切にしなければならない人材が不足する事態に陥ります。

取引先への波及を防ぐ

ターゲット企業を直接狙わずに取引先の中でセキュリティ対策が甘い中小企業を狙うサプライチェーン攻撃の被害が増加しています。 犯罪者は年々セキュリティ対策を強化している大企業を直接狙うよりも、セキュリティ対策が甘い中小企業を狙った方がターゲット企業の情報盗取やシステムダウンなど、目的を果たせる確率が高いと判断しているためです。

ここ数年の間にも三菱電機NEC、ぴあなどがサプライチェーン攻撃の被害に遭っていました。 自社のセキュリティ対策の不備が原因で取引先の情報が盗まれた場合、取引停止だけでなく損害賠償を求められる可能性もあります。 深刻な経済的損失だけでなく、社会的信用が失墜して今後のビジネスが大変厳しい状況になります。

情報漏洩は自社の問題だけでは無いため、取引先を守る意味でも自社のセキュリティ対策を強化しなくてはいけません。

2025年の崖

新たなデジタルツールを活用してビジネスモデルを柔軟に構築していくDX(Digital transformation)に対応するために、サイバーセキュリティも強化する必要があります。 多くのデータをデジタル化するためサイバー攻撃や天災から情報を守る仕組みを強化しなくてはいけないからです。

経済産業省がDXレポートとしてまとめた2025年の崖は、現在企業の日々の業務活動に不可欠な基幹システムをメンテナンスせずにこのまま使い続けると、データの活用が十分にできないためにビジネス機会を逃し、莫大な利益を失うと警鐘を鳴らしています。 また、システムに精通した担い手の不足で、データ消失のリスク向上やランニングコストの膨張が危惧されています。

多くの企業は基幹システムのレガシー化を避けるため、業務ツールをクラウドサービスとして移行する形を取り始めました。 クラウドサービスはオンプレミスと比べて低コスト・効率的な運用ができるだけでなく、様々な角度からの攻撃を防ぐためにベンダーが施したハイレベルなセキュリティ対策が期待できます。

一方で、自社のサイバーセキュリティ対策を把握しないと適切なサービスを導入できず、セキュリティインシデントが起きた場合も適切な対処が行えません。 セキュリティツールを活用しつつ、管理・運用を行う管理者の人材育成も同時に行うことが求められています。

企業の対策を評価・監査するサイバーセキュリティガイドラインとは?

2015年12月にIPAが定めた企業として行うべきサイバーセキュリティの対策・重要性をまとめたガイドラインです。 2015年9月に発表された「サイバーセキュリティ戦略」を踏まえた内容になっており、国が企業の経営者に求めるサイバーセキュリティの内容がまとめられています。 つまり、ガイドラインの内容を網羅できていなければ、国が求める水準まで十分セキュリティ対策を行えていないことを意味します。

例えば、セキュリティガイドラインに十分な意識を払わず、対策が不十分の状態で従業員の個人情報や顧客先の情報が漏洩した場合は、損害賠償請求を行っても認められないだけでなく、個人情報保護法に基づき処分が課せられる可能性もあります。

サイバーセキュリティガイドラインに法的拘束力は無いものの、国にとっては企業の取り組みを評価・監査するための基準です。 一方、企業にとっては情報盗取を避けるためにどのようなリスク管理を行うべきかの指標となります。

サイバーセキュリティガイドラインの内容とは?

企業の経営者が企業を守るために認識しなければならない3原則と実際に行うべき項目が10点まとめられています。 企業の3原則に関しては前提認識としてセキュリティ対策への投資は売上に結びつかず、導入効果が目に見えづらいことを理解する重要性が述べられています。 そのため、経営者自身が自社のセキュリティ環境の評価・監査をを行い、対策案を述べることが重要です。

そして、たとえ売上に結びつかず評価が見えづらかったとしても、情報漏洩を一度でも起きれば取引先からも敬遠され、最悪の場合倒産に結びつく可能性があることを意識しなくてはなりません。 そのため、企業を守るための対策との認識が重要であり常にセキュリティ環境を確認しながら、企業の経営状況と並行して必要となるセキュリティソリューションを段階的に導入することが求められます。

実際の対策内容における監査はセキュリティ分野の知識が豊富な社員に任せるべきですが、確保が難しければ外部のセキュリティ企業に依頼してください。 対策内容やリスク管理の内容を評価してもらい、今後の参考につなげていきます。

そして、重要10項目は経営者が意識しておくべき内容をまとめており、実務レベルで対策の内容を決める管理者がスムーズに内容を反映できるように導きます。

3原則

  • 経営者のリーダーシップが重要
  • 取引先や顧客に配慮
  • 常に密接なコミュニケーション・情報共有を実施

リーダーシップが求められる内容

  • サイバーセキュリティリスクを経営課題に追加
  • CISOの任命またはチーム体制の確立
  • CISOの役割と責任分担の明確化
  • 現状のセキュリティ環境における課題の把握と見直し
  • 取引先や顧客とセキュリティ環境の共有・連携
  • 外部組織との接点を持ち情報収集を実施

10項目

  1. サイバーセキュリティ対応方針の決定・ステークホルダーに開示
  2. リスク管理の体制構築・強化(CISOの任命、内部統制、災害対策)
  3. 自社の情報資産を脅かすリスク把握・目標・対応計画の策定
  4. PDCAサイクルの実施・内容開示
  5. 取引先や関連企業と互いのセキュリティ対策の内容共有
  6. 予算の確保・人材育成
  7. 外部委託会社システム管理の委託範囲特定と対策の確認
  8. 外部からサイバー攻撃マルウェア感染に関しての情報収集・許攸を実施
  9. 緊急時の体制整備(CSIRTの設置)・定期的な演習を実施
  10. 被害発覚後の情報把握・開示のための準備体制の整備

サイバーセキュリティ対応方針の内容はどんな内容を記載するべきか?

必ず網羅すべきなのは「サイバーセキュリティは企業のリスク管理で不可欠な対策として、認識・対応している」とアピールすることです。 取引先や国に対してもセキュリティ対策に取り組んでいることを明確に示します。 そして、自社がセキュリティをどのように考えているか表明する場でもあるので、3原則の内容を踏まえつつ自社が考えている内容をわかりやすく示すことが大切です。

具体的に盛り込むべき内容

  • 自社のセキュリティ上の課題に関与した内容
  • 自社の経営戦略・事業に沿った内容
  • ヒト・モノ・カネの制約範囲内で策定
  • 現実的に実行できる内容で策定

CISOとは?

CISO(Chief Information Security Officer)は、企業におけるセキュリティ対策の最高責任者を指します。 社員が利用するPCやスマートフォンなどのデバイス機器やネットワーク機器の安全管理はもちろん、機密情報に該当する情報の管理方法や既定の策定、情報漏洩に関しての予防策から報告体制の整備など、セキュリティに関する全ての内容をまとめます。

また、トップの方針を現場に伝え組織が一丸となって機能するよう様々な調整を行う緩衝材としての役割も期待されており、幅広い能力を求められる点が特徴です。 人事・総務・広報など他部署との連携を図るコミュニケーション能力、トップと現場の声を汲み取る理解力、決まった内容を行う実務力など様々な能力が要求されるため、一人で行うよりもチームで分担してそれぞれが役割を担うのが得策だと考えられています。

CSIRTとは?

CSIRT(Computer Security Incident Response Team)は、自社システムや情報資産の脅威となるサイバー攻撃や情報漏洩といったセキュリティインシデントに対して対応する専門チームです。 CSIRTは情報漏洩が起きた場合の技術的支援を受ける判断、報告先の指示、対応内容の明確化などセキュリティインシデント発生後の対応だけでなく、事前に情報漏洩が起きた場合の対応や連携の取り方、他社で情報漏洩が起きた事例紹介など、実際に起きた場合のことも想定して事前準備も行います。

CSIRTの設置が叫ばれている理由はサイバー攻撃の多様化・巧妙化により、インシデントの発生を防ぐことは困難な状況だからです。 全ての企業が犯罪者にとってはターゲットであり、攻撃に対する備えを万全にする必要があります。 近年ではサプライチェーン攻撃や標的型攻撃により中小企業をターゲットにした攻撃も増えており、「うちの会社は狙われない」といった発想でセキュリティ対策を怠っていると、犯罪者から狙われ簡単に情報盗取されます。

CSIRTを社内に設置することで、セキュリティインシデントの備えや予防を行うことができ、実際にマルウェア感染や不正アクセスが起きたとしても、最小限の被害に留めることが可能です。 また、CSIRTの設置が社内に難しければ外部サービスを活用し、防御・検知・対処といった技術的な部分は専門企業に任せることも一つの選択肢です。 社員への教育やインシデント発生時における対処方法の確立に集中することで、実際にインシデントが発生しても落ち着いて対処ができます。

CSIRTが情報収集すべき内容

まとめ

サイバー攻撃の脅威は絶え間なく続いており、自社の情報資産や取引先を守るためにもセキュリティ対策を定期的に見直し、脆弱性を無くす努力が求められます。 今後は働き方の多様化がさらに進みデジタルツールの活用範囲がより増えてくるため、カバーすべき範囲も増えます。 安定した売上を確保するための攻めの経営戦略だけでなく、守りの経営戦略としてサイバーセキュリティの強化は重要です。

ガイドラインの内容を参考にしつつ、自社のセキュリティポリシーを定めてください。 また、自社でセキュリティ分野においての人材確保が難しければ、外部の企業をうまく活用して安全性の強化につなげます。