企業がシステム上で扱う情報の価値は、ビジネスそのものの価値に等しいと言っても過言ではありません。その情報を狙うサイバー攻撃は明確に「金銭的な利益」を目的としたものへ変化し、ターゲットも業種や規模を問わず幅広くなっています。攻撃手口が高度化の一途をたどり「完璧」な防御が困難な今、セキュリティ対策はもはや経営課題といえます。
時間や予算、人材といったリソースが限られる中、効果的にセキュリティ対策を進めていくためには? 日立システムズ、セキュリティコンサルティングチームのリーダーとして、数々の企業からのセキュリティ相談に応じている山野浩が、その具体的な方法を語ります。
山野浩
ネットワークセキュリティサービス事業部
チーフコンサルタント
セキュリティを、情報システム部門やIT担当者だけのタスクではなく、企業の「経営課題」として捉えなければならない最大の理由は、被害や事故が発生した場合に、実際のビジネスに対して与えるインパクトが大きくなっているためです。
例えば、サイバー攻撃で情報が漏えいした場合、企業が被る被害は計り知れません。重要な顧客情報が流出すれば、企業が育てたブランドや顧客からの信用は大きく損なわれます。法令上の罰則を受ける場合もありますし、損害賠償などで膨大な金銭的損失を招く可能性も高まっています。また、情報漏えいには至らなかったとしても、攻撃によってシステムが長時間停止してしまった場合には、大きな機会損失となることもあります。
「ある状況になった場合に」「ビジネスへの影響がどれだけあるのか」を把握して、適切なセキュリティ対策を行っておくことは、災害発生時の対応策を示したBCP(Business Continuity Plan:事業継続計画)と同じく、企業経営に求められる基本的なリスクマネジメントの考え方です。経営者には、サイバー攻撃の脅威を経営リスクの一部と捉えて対応していくことが求められています。
しかし、そうした取り組みが進まない現実もあります。理由としては、セキュリティ対策にかかるコストに対し、具体的な効果を計ることが難しいことが挙げられます。セキュリティ対策は事業上の利益を生むものではなく、「どれだけの被害を未然に防げるか」を予測したり、防いだ被害を「効果」として指標化したりすることも現実的ではありません。つまり、企業が十分なセキュリティ対策を行えるかどうかは、経営者がセキュリティ上のリスクがビジネスに与えるインパクトを、どれだけ正しく把握しているかにかかっているわけです。
一般的に、経営者は「盗まれて困るデータはない」と、自社にある情報の価値を過小評価しがちなのですが、それは誤った考えです。企業の規模の大小にかかわらず、企業内には顧客の個人情報を含む重要な情報が存在しているはずです。あるいは、仮に自社でそのような情報を扱っていなかったとしても、自社を踏み台とし、パートナー企業が攻撃されるという手口も存在します。情報を盗まれたという事実そのものが、企業の管理意識の低さを示し、信頼を失う恐れもあります。経営者が「当社には関係ない」という考えを改め、現状を正しく把握することが、効果的なセキュリティ対策の第一歩なのです。
セキュリティリスク算出イメージ
限られたセキュリティ対策の予算の中で、効果的な対策を行うために最も重要なことは、「守るべき情報資産の洗い出し」です。社内に存在する情報資産が流出、盗難、破壊された場合に事業が受けるインパクトを、情報資産ごとにチェックします。もし、事業に大きなインパクトを与える情報に対して十分な対策が行われていない場合は、そこに重点的な対策を行うことが必要です。
日立システムズでは、セキュリティソリューションのブランドである「SHIELD」において、独自のセキュリティコンサルティングフレームワークを用意しています。これは、金融、流通、サービスなど、あらゆる業種業界にソリューションを提供してきた実績によるノウハウをベースとしています。
このフレームワークにおいて、お客さまが自社のセキュリティの状況を把握するためのメソッドとして「問診によるセキュリティ診断」を用意しています。これは自社のセキュリティへの取り組みに関する質問に対し、取り組み状況を5段階で自己評価していただき、結果をチャートとして可視化するものです。これまでに手がけてきたお客さまの統計データより、同規模や同業種の企業の中で、自社のセキュリティレベルがどの位置にあるかといった比較が可能です。その情報から、優先的に対策を行うべき個所が明確になります。
これとは別に「シナリオ」をベースとした「簡易リスクアセスメント」も行っています。例えば「USBメモリを経由して顧客情報が漏えいした」「標的型攻撃によって情報を盗まれた」といった実際の事例をシナリオとして、そこでの被害を避けるための対策が自社で行われているかをポイントごとにチェックしていくものです。分析の範囲によっても異なりますが、2カ月ほどの期間で、状況把握が可能です。
また、状況把握を行い、必要な対策が洗い出せたとしても、コスト・時間の問題もありすべての対策を一度に行うことは難しいでしょう。そのためリスクアセスメントの結果から、それぞれの対策の優先度を決定し、継続的に取り組んでいくための「ロードマップ」を提供しています。
ロードマップイメージ
セキュリティ対策は、ある部分だけで一時的に実施すれば十分というものではありません。ネットワークを含むシステム全体への適切な対策に加え、その運用体制の構築、組織としての情報の扱い方などについて、総合的にレベルを上げていく必要があります。また、リスク状況の変化に合わせて、随時対策を見直し、改善していくことが重要です。いつ、どのような対策を行い、どう運用体制を構築していくべきかを「ロードマップ」として提供できるのは、SI、運用サービス、アウトソーシングといった多様な実績がある当社ならではの強みです。
昨今では海外に拠点をもつ企業も増えています。これまで日本国内であれば理解できていた法制度やセキュリティのガイドラインも、海外拠点では全く異なるケースが多くあります。こうした背景を踏まえ、日立システムズではコンサルティングサービスの中で、海外でビジネスを展開するお客さま向けのサポートも強化しています。
その一環として2015年8月に、カナダのモントリオールに本社を置くITセキュリティサービスプロバイダ「Above Security」をグループ会社化しました。これにより、海外展開する企業に対し、展開先の国のセキュリティ規約などを念頭に置いたコンサルティングも可能となっています。
あらゆる企業にとってセキュリティ対策は経営課題の一環として取り組むべき重要なテーマです。自社の状況を把握するためのアセスメントを入り口に、幅広いセキュリティニーズに対応できる体制を整えておりますので、課題を感じているお客さまはぜひ、日立システムズのコンサルティングチームにご相談ください。
SHIELD セキュリティコンサルティングサービス
企業が持つ情報資産に対する脅威やぜい弱性を独自のフレームワークで数値化し、セキュリティリスクを総合的に評価、効果の出るセキュリティ対策の提案を行います。
日立システムズは、システムのコンサルティングから構築、導入、運用、そして保守まで、ITライフサイクルの全領域をカバーした真のワンストップサービスを提供します。
