「予算の通し方」のコツも、さくら情報システム「Security Days」講演レポート

企業を実際にサイバー攻撃してみたら…？　実例から学ぶ中堅・中小のセキュリティ対策

2024年11月25日 10時00分更新

文● 福澤陽介／TECH.ASCII.jp

中堅・中小企業のセキュリティ対策のポイントと予算の通し方

　最後に解説されたのは、冒頭のアンケートでも指摘されていた中堅・中小企業の悩み、すなわち「セキュリティ対策を進める上のポイント」と「経営層への説得の方法」だ。

　竹井氏は、「セキュリティ対策を考える際には、“ツールや技術”から入ることが多い。確かに重要ではあるが、技術面だけに特化すると抜け漏れの可能性が生じる」と説明。実際に顧客が体験したというエピソードを2つ紹介した。

　ひとつ目は、「対策が部分最適に偏り、見落としが生じた」ケースだ。とある企業では、PC全台にウィルス対策ソフトとEDRを導入。しかし、ウェブサイトがSQLインジェクション攻撃を受けて、情報漏えいにつながってしまったという。一部分ばかりに気を取られ、網羅的なセキュリティリスクの洗い出しを怠っていた事例だ。

　2つ目は、「人的や組織的な面で、有事の備えが不十分だった」ケース。PCのセキュリティ対策だけで被害後の運用を想定しておらず、未知のウィルス経由でシステムに侵入された結果、素早い対処ができなかった。インシデント対応の手順整備や訓練などをしていれば、すぐに対応できたかもしれない。

　これらの事例も踏まえて、「技術」「物理」「組織・人」の3つの領域でバランスよくセキュリティ対策を取ることが重要だと、竹井氏は強調する。特に、技術での対策は部分最適に陥りやすい。全体最適を目指すには、技術・物理の対策にも影響する、“組織・人”における対策に重点を置くべきだが、「多くの中堅・中小企業が意識していない」（竹井氏）領域であるという。

セキュリティ対策は3つの領域でバランスよく

　組織・人のセキュリティ対策の根幹になるのが、「セキュリティポリシー」の策定だ。まず、企業が対外的に宣言すべきセキュリティの「基本方針」を定め、その上で「対策基準や規定」を決め、それを具現化する「実施手順（ガイドラインやマニュアル）」を作成する流れをとる。セキュリティポリシーがあることで、組織や従業員、顧客の各視点でやるべきことが明確になる。

「組織・人」対策ではセキュリティポリシー策定が重要

　もうひとつの中堅・中小企業における大きな悩みが、予算の確保、つまり“どう経営層を説得するか”だ。

　ここで竹井氏は参加者に対してクイズを出す。ある企業の社長がセキュリティインシデントの報道を見て、情シス担当者に「うちは大丈夫か？」と曖昧な質問を投げる。担当者は、インシデントの対策を考えて社長に報告。しかし、社長は「意味が分からん」とご立腹の様子。なぜ社長は怒ったのだろうか。

なぜ社長はご立腹なのか？

　これも実際にあった話だという。社長によくよく聞いてみると、セキュリティ対策の“ビジネスへの影響度合い”が分からなかったのだという。「常にビジネス目線で考える経営層との“視点の違い”だ。社長はビジネス上のリスクをどう排除できるかを知りたかった。しかし現場では“手段”に着目しがちで、同じ目線には立ちづらい」と竹井氏。

　そのため、セキュリティ対策の提案は、「ビジネスの成果」を特定するところから始めるのが重要だという。例えばビジネス成果が「新製品による利益の増大」であれば、そこから「製造ラインの停止」というビジネスリスクを考え、それに応じた「工場が止まらないこと」というセキュリティ成果を導く。その上で、守るべき資産やそれに対する脅威を想定して、そこで初めて対策の“手段”を検討する。

　上述の「うちは大丈夫か？」と社長に聞かれた情シス担当者は、その場でビジネス成果やビジネスリスクを確認しておけば、怒られることはなかったかもしれない。