この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
2023.3.16 に行われた Security Days Osaka に行ってきました!
この記事はそのイベントでのセッション 「”セキュリティ”を単なるホラーストーリーとして、いつも社内に伝えていませんか? ~インシデント事例から読み解く~」 のレポートブログとなります。
セッション概要
経営層や社内へのセキュリティ対策の説明として、サイバー攻撃などをホラーストーリー=脅し的な説明としてしまっていませんか?ITに関わっているとどうしてもそういう説明をしてしまいがちです。 昨今のインシデント事例から、伝え方やどうしたら理解してもらえるのか?など、考えていきたいと思います。また、サプライチェーン、工場や設備のセキュリティなどの脅威も一緒に考えたいと思います。
スピーカー
(特非)日本ネットワークセキュリティ協会(JNSA)
西日本支部
吉崎 大輔
レポート内容
セキュリティの必要性は各々感じはじめているとは思うが、セキュリティの導入については経営層に対して説明しづらい状況にあり、セキュリティ対策の導入が実現できていないことは多いのではないか?
2/1 - 3/18は NISC サイバーセキュリティ月間として定められていたこともあり、この講演でもセキュリティについて考えていきたい。
JNSAってなに
- IPA、JPCERTと並ぶ、JNSAは最古参のセキュリティ団体
- 個人情報漏えいインシデントの分析結果のレポート、SECCON を運営している
- スピーカーもJNSA所属
セキュリティ対策に取り組むために
- 日本は自然災害大国で、BCPを作成し、訓練を行っている企業は多い
-
メリルリンチ社のBCP事例
- 9.11の事件、建物破壊後
- 7分後に対策本部を立ち上げ、20分後には9000人全員の避難を安全に完了
- BCPが重要と認識されるのに有名になった事例
- セキュリティをホラーストーリーとして社内に伝えがちになっている
- 実際にセキュリティインシデントが起こった時に何が起こるのかを経営層に伝わっていない
- インシデント事例から伝え方を変えていく
- 某医療機関(大阪)のランサムウェア感染では、医師でありIT担当者ではない須藤医師の講演が行われているが、こういった実例を語る必要がある
-
某医療機関(大阪)のランサムウェア感染の根本的な原因はなにか
- システム部門の原因
- 現場の要望に応えた結果、管理ができていなかった
- 経営層、現場、システム部門を含む全員の原因
- 自分たちの思い込みや自身
- セキュリティの意識が低い
- 南海トラフ地震への備えとしてのBCPばかりを考えていた
- 根本的な原因を取り除くには
- 組織全体でセキュリティの共通に認識を持つ
- 経営層の意識が一番重要
- 現場の意識も重要
- システム部門は、セキュリティを意識したシステムを考える
- 閉域だから安全という考えを無くす
- セキュリティを考慮しないベンダーと取引しない
- ポリシーを現場の方に理解してもらって、守ってもらう
- ポリシーを守ってもらうことが安全安心につながる
-
BCPの取り組みの中にセキュリティも取り入れる
-
某医療機関(大阪)の須藤医師も南海トラフ地震を想定したBCPも役にはたった、セキュリティも考慮する必要もあると感じたと発言
-
経営層に理解してもらうには
- 総務や経理経営企画などと共有して、仲間をつくる(上への取り組みもだが、横への取り組みが大事)
- 根気よくくじけず、仲間と一緒に経営層に訴える
- 幹部会議等で、サイバー攻撃を説明するのではなく、事故事例を説明する(何が起こるのか説明する)
- 事業の継続という観点に絞って、説明する
- BCPの訓練の中にメディア向けの記者会見を想定することで、理解してもらえるようになる
- 現場へ理解してもらうには
- 根気よくくじけず、現場にも訴え続ける
- 事故事例を説明し続ける
- 経営層や総務さんの訓練の様子を動画で見てもらうことで、理解が深まる
- ビジネスごとに具体的に業務が止まった時にどれだけの被害が発生するのかを説明する
- ◯◯の業務が止まった時にどれだけ売上が上がらないのかを数字で具体的に表現する
- 具体的な被害の事例のネタはどこにあるか?
- JNSAやIPAのアウトプットを活用する
- 事故事例や実際にかかった費用(例 インシデント損害調査レポート)
- 直接被害、間接被害の被害額の事例が多く書かれている
例 インシデント損害調査レポート(JNSA)
例 今すぐ実践できる向上セキュリティハンドバック(JNSA)
例 中小企業において目指すSecurity By Design(JNSA)
例 サイバー空間をめぐる脅威の情勢等(警察庁)
例 取締役会で議論するためのサイバーリスクの数値化モデル(日本サイバーセキュリティイノベーション委員会(JCIC))
まとめ
- 経営層、総務現場と共有し、仲間を増やす
- サイバー攻撃を説明せず、事故事例を説明
- 説明に事業を継続するためにはという観点を忘れずに
- 不足の事態を想定したBCPにサイバー攻撃を受けた場合も加える
- BCPの訓練時にサイバー攻撃を受けた時のケースも加える
最後に
サイバー攻撃に対しての対策を立ていくには、経営層から意識を高くしていくということに焦点をあてたセッションでした。自分たちのビジネスにおいて、セキュリティ対策をたてるための納得性や説明責任を果たすことで、守らなければならないものを理解していくという過程において、どうやって情報を掴んでいったらよいか、ヒントになる非常に良いセッションでした。
今回学んだ情報源を活用して、説明責任のあるセキュリティ戦略を立てることに役立てたいと思いました。
7
