kajitabi

ENGLISH ホーム 経団連について Policy(提言・報告書) Action(活動) 会長コメント／スピーチ トップ Action(活動) 週刊 経団連タイムス 2018年11月15日 No.3385 サイバー攻撃発生時の「インシデント対応」と「事業継続対応」 Action(活動) 週刊 経団連タイムス　2018年11月15日 No.3385 サイバー攻撃発生時の「インシデント対応」と「事業継続対応」 －２１世紀政策研究所 解説シリーズ／２１世紀政策研究所研究委員（東京海上日動リスクコンサルティング主任研究員）　川口貴久 サイバー攻撃発生時の対応には２つの重要な要素がある。１つは「インシデント対応」であり、主にＣＳＩＲＴ（インシデント対応のための組織の総称）や情報システム部門等が担う。インシデント対応の枠組みは、米国立標準技術研究所（ＮＩＳＴ）、ＪＰＣＥＲＴ／ＣＣ（国内のインシデント対応支援や助言・情報提供を行う組織）、総務省等のさまざまな組織・団体が提示をしている。これらに共通するインシデント対応の構成要素は、インシデントの検知・受付、トリアージ（緊急性判断）、封じ込め、被害拡大防止、根絶、復旧等である。 もう１つは「事業継続対応」であり、サイバー攻撃によりシステムやネットワークが使えない場合に事業を継続するための戦略・対策である。一般に、事業部門、経営企画部門、総務部門等が担う。 サイバー攻撃を検知しても、インシデント対応が適切であれば、企業としての対応はそこで完了する。しかし、サイバー攻撃にうまく対処できなかった場合、企業はインシデント対応と事業継続対応の２つを同時に実施しなければならない。 そのため、多くの企業はインシデント対応手順に加えて事業継続計画（ＢＣＰ）を整備したうえで、第三者評価や演習・訓練を通じて、実効性を高めている。 ■ ２つの有事対応を進めるうえでの課題 インシデント対応部門と事業継続部門の円滑な連携という点で、いくつかの課題がある。 第１に、サイバー攻撃発生直後の「影響評価」である。サイバー攻撃は多くの場合、その検知・初動段階で被害範囲、原因、影響を正確に確定することが難しい。インシデントを検知した場合、その影響が小さいのか大きいのか、それとも不明なのかを評価・判断（トリアージ）して、経営トップや事業サイドと迅速に共有・連携し、必要に応じてＢＣＰを発動することが必要である。こうした緊急性の判断権限、基準、プロセスが未整備な企業も少なくない。 第２に、サイバー攻撃の被害拡大防止のための「積極的停止措置」は有効だが、そのオプションや発動基準は十分に準備されていない場合がある。積極的停止措置とは、外部との通信遮断やマルウェア感染の疑いのあるサーバーの停止等を通じて、被害拡大や情報漏洩を防ぐことである。これは必然的に業務の縮小や停止を含む。 ■ 求められるサイバー攻撃版ＢＣＰ 情報漏洩を防止するため、セキュリティオペレーションセンター（ＳＯＣ）の担当者の判断で、社内と外部の接続を即時遮断することは妥当かもしれないが、重要事業や生産の停止にかかるような措置はより上位の権限が必要となることが多い。他方、判断・対応は迅速性が求められるため、会議を開催して議論する余裕はない。いずれにせよシステムやネットワークが停止した場合の「オフライン」のＢＣＰが求められる。逆にいえば、オフラインＢＣＰがなければ、被害拡大防止措置を講じることを躊躇するかもしれない。複数の積極的停止措置オプションと、対応するオフラインＢＣＰの整備は不可欠である。 第３に、前述２点と関連するが、サイバー攻撃の「被害想定」が十分に検討されていない。検討されていても広く共有されていないという問題である。 サイバー攻撃の影響は、経営資源のうち人的資源、物的資源（生産設備等）、外部資源（委託先・取引先等）は利用できるが、情報資源（ＩＴインフラやデータ）のみが利用できない状況だ。しかし、利用不可となる情報資源の範囲は、攻撃被害や対応策によって、（１）外部との通信遮断（単にメールやブラウジングできない等）（２）社内の業務システム（顧客データベース等）の利用停止（３）顧客向けクラウドサービスの停止――等、さまざまである。自社のネットワーク構成、セキュリティレベル、事業への影響を踏まえた被害想定をあらかじめ検討しておく必要がある。 ■ ２つの有事対応を理解する人材 第４に、インシデント対応と事業継続対応の双方を理解し、最高情報セキュリティ責任者（ＣＩＳＯ）等の経営判断を支える「人材」の問題である。内閣サイバーセキュリティセンター（ＮＩＳＣ）は、こうした人材を「戦略マネジメント層」「橋渡し人材」と呼ぶ。戦略マネジメント層はビジネスプロセスを理解し、かつＩＣＴやセキュリティにも明るい必要がある。戦略マネジメント層の確保・育成は、個社というよりも業界や社会全体の課題である。 【２１世紀政策研究所】 「２１世紀政策研究所　解説シリーズ」はこちら 「2018年11月15日 No.3385」一覧はこちら Action(活動) 週刊経団連タイムス 連載・シリーズ記事 バックナンバー 2024年 2023年 2022年 2021年 2020年 2019年 2018年 2017年 2016年 2015年 2014年 2013年 2012年 定期購読のお申し込み ページトップへ 経団連トップ 経団連について 経団連とは 会長挨拶 役員名簿 委員会一覧 会員一覧 電子公告 事務局 関連組織 Policy(提言・報告書) 総合政策 環境、エネルギー 経済政策、財政・金融、社会保障 CSR、消費者、防災、教育、DEI 税、会計、経済法制、金融制度 労働政策、労使関係、人事賃金 産業政策、行革、運輸流通、農業 経済連携、貿易投資 都市住宅、地域活性化、観光 国際協力 科学技術、情報通信、知財政策 地域別・国別 会長コメント／スピーチ 会長コメント 記者会見における会長発言 会長スピーチ Action(活動) 月刊経団連 お知らせ ご意見・ご要望 個人情報保護 著作権、リンク等について リンク 表示：パソコン | スマートフォン Copyright © 1995-2024. Keidanren. All Rights Reserved.