「予算の通し方」のコツも、さくら情報システム「Security Days」講演レポート
企業を実際にサイバー攻撃してみたら…? 実例から学ぶ中堅・中小のセキュリティ対策
2024年11月25日 10時00分更新
中堅・中小企業のセキュリティ対策のポイントと予算の通し方
最後に解説されたのは、冒頭のアンケートでも指摘されていた中堅・中小企業の悩み、すなわち「セキュリティ対策を進める上のポイント」と「経営層への説得の方法」だ。
竹井氏は、「セキュリティ対策を考える際には、“ツールや技術”から入ることが多い。確かに重要ではあるが、技術面だけに特化すると抜け漏れの可能性が生じる」と説明。実際に顧客が体験したというエピソードを2つ紹介した。
ひとつ目は、「対策が部分最適に偏り、見落としが生じた」ケースだ。とある企業では、PC全台にウィルス対策ソフトとEDRを導入。しかし、ウェブサイトがSQLインジェクション攻撃を受けて、情報漏えいにつながってしまったという。一部分ばかりに気を取られ、網羅的なセキュリティリスクの洗い出しを怠っていた事例だ。
2つ目は、「人的や組織的な面で、有事の備えが不十分だった」ケース。PCのセキュリティ対策だけで被害後の運用を想定しておらず、未知のウィルス経由でシステムに侵入された結果、素早い対処ができなかった。インシデント対応の手順整備や訓練などをしていれば、すぐに対応できたかもしれない。
これらの事例も踏まえて、「技術」「物理」「組織・人」の3つの領域でバランスよくセキュリティ対策を取ることが重要だと、竹井氏は強調する。特に、技術での対策は部分最適に陥りやすい。全体最適を目指すには、技術・物理の対策にも影響する、“組織・人”における対策に重点を置くべきだが、「多くの中堅・中小企業が意識していない」(竹井氏)領域であるという。
セキュリティ対策は3つの領域でバランスよく
組織・人のセキュリティ対策の根幹になるのが、「セキュリティポリシー」の策定だ。まず、企業が対外的に宣言すべきセキュリティの「基本方針」を定め、その上で「対策基準や規定」を決め、それを具現化する「実施手順(ガイドラインやマニュアル)」を作成する流れをとる。セキュリティポリシーがあることで、組織や従業員、顧客の各視点でやるべきことが明確になる。
「組織・人」対策ではセキュリティポリシー策定が重要
もうひとつの中堅・中小企業における大きな悩みが、予算の確保、つまり“どう経営層を説得するか”だ。
ここで竹井氏は参加者に対してクイズを出す。ある企業の社長がセキュリティインシデントの報道を見て、情シス担当者に「うちは大丈夫か?」と曖昧な質問を投げる。担当者は、インシデントの対策を考えて社長に報告。しかし、社長は「意味が分からん」とご立腹の様子。なぜ社長は怒ったのだろうか。
なぜ社長はご立腹なのか?
これも実際にあった話だという。社長によくよく聞いてみると、セキュリティ対策の“ビジネスへの影響度合い”が分からなかったのだという。「常にビジネス目線で考える経営層との“視点の違い”だ。社長はビジネス上のリスクをどう排除できるかを知りたかった。しかし現場では“手段”に着目しがちで、同じ目線には立ちづらい」と竹井氏。
そのため、セキュリティ対策の提案は、「ビジネスの成果」を特定するところから始めるのが重要だという。例えばビジネス成果が「新製品による利益の増大」であれば、そこから「製造ラインの停止」というビジネスリスクを考え、それに応じた「工場が止まらないこと」というセキュリティ成果を導く。その上で、守るべき資産やそれに対する脅威を想定して、そこで初めて対策の“手段”を検討する。
上述の「うちは大丈夫か?」と社長に聞かれた情シス担当者は、その場でビジネス成果やビジネスリスクを確認しておけば、怒られることはなかったかもしれない。
経営層を説得するには「ビジネスの成果」の特定から
