サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

サイバーセキュリティ対策の資源確保と委託先管理における注意点



サイバーセキュリティ経営ガイドライン対応の進め方第6回である今回は、指示6「サイバーセキュリティ対策のための資源(予算、人材)確保」と指示7「委託先管理」について解説していきます。

前回の「サプライチェーンセキュリティマネジメントについて」までの流れで、一通りの“状況把握”と対策のための“取組み方針”が定まりました。

今回はその次の段階、取組みを“実行”する段階に入ります。ここでまず押さえるのは、「ヒト・モノ・カネ」の確保です。何をするにしても、この3要素は考慮する必要があります。

セキュリティ人材確保は最大の課題

取組みを具体的に実行するための3要素の内、特に意識すべきは「ヒト」の問題です。「サイバーセキュリティ経営を何とかしろ」と言われても、“誰が”何とかするのでしょうか。

サイバーセキュリティ経営ガイドラインの「対策を怠った場合のシナリオ」には下記の表記があります。

適切な処遇の維持、改善ができないと、有能なサイバーセキュリティ人材を自社にとどめておくことができない。

今やサイバーセキュリティ人材は引く手数多です。そう簡単に自社に引き込めません。また、人材を正しく評価できなければ、能力の無い人材に対策を委ねてしまうリスクも存在することになります。

このような状況から、ガイドラインでは下記2通りの方法を提示しています。

  1. 予算を確保し有能な人材を取り込む
  2. 1が不可能な場合は、信頼できる専門ベンダに対策を依頼する

システム管理の外部委託における注意点

次に「委託先管理」についてですが、近年は「クラウドサービス流行り」です。

自社内でサーバを管理していると、アップデートが大変です。作業も情報収集も手間がかかる。だから、まとめて管理してもらえるクラウドサービスを利用する。これは合理的な考えです。

では、実際にクラウドサービス業者を選定する際、どういう進め方をしたでしょうか?費用だけで選んでいませんでしたか?

クラウドサービスも、実質は、業務と情報の「委託」です。委託先が必要な管理体制を取れているかどうか、普通は確認しますよね。

  • チェック体制はどうなっているのか
  • 関係のない社員が触れる状態にないか
  • 違法行為はしていないか
  • 経営状況に問題はないか
  • 問題が発生したときの賠償はしてくれるのか

などなど、確認事項は数多くあることでしょう。

ところが、クラウドと言った途端、もわもわした雲のようなイメージを持ってしまい、“何となく”大丈夫だと預けてしまっていませんか?

クラウドサービスの仕組みを知ろう

クラウドサービスと言っても、必ず物理的にデータがどこかに保管されています。そして、保管場所に対しアクセスできる人やメンテナンスする人がいます。

情報を預けるクラウドサービスの従業員が不正の出来ないような、或いはミスをしないような管理体制だと確信できていますか?もし、管理体制の確認もしないまま委託をしたのであれば、何か起きてもそれは“全面的にに委託側の責任”ということになります。

条件に合致するサービスを選択すること

2016年の動向としては、クラウドを利用した「マイナンバー預かりサービス」が多く発売されましたね。私個人も様々なサービスの管理体制を確認しましたが、明らかにマイナンバーガイドラインに準拠できないサービスもかなり見つかりました。

どんな品物やサービスでも、良いもの、そうでないものがあります。それでも、10年持つものが欲しい、1年持てば良い、というように自分のニーズによって使い分けをしているでしょう。

この使い分けは、クラウドサービスであっても同じです。

自分たちが預ける“情報”と“使い方”を考え、どの程度のサービスレベルが必要か、どのような契約合意が必要かを導き出した上で、条件に合致したクラウドサービスの中から選ばなければなりません。

そしてさらに「問題が起きていないか、定期的にチェックをする必要がある」とサイバーセキュリティガイドラインでは謳っています。

まとめ

今回の内容は「責任は丸投げできない」という考えが根底にあります。人任せにするなら、必要な条件は揃っているか、任せても大丈夫な力量を備えているか、自らの責任で判断しなければなりません。

「分からないから専門家に任せた」という態度は有事の際には通用しません。サイバーセキュリティにおいては、CISOが責任の自覚を持って、人や外部に任せる必要があるのです。

次回は、指示8「情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備」から説明します。


書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。