サイバーセキュリティ経営ガイドライン対応の進め方第8回は、指示9・10に記載されている、実際にサイバー攻撃を受け被害が出た場合の対応について解説いたします。
“サイバー攻撃を受ける”という万一の事があっても、企業が生き残るための対策。それが指示9・10であり、サイバーセキュリティ経営ガイドラインの“本質”とも言える部分なのです。
サイバー攻撃への備えはなぜ重要か
前述の通り、指示9・10には実際にサイバー攻撃を受けたり、被害が出た場合の対応について書かれています。
これまでの連載でもお伝えしていますが、サイバー攻撃によるインシデント(事件・事故)の可能性はゼロにはなりません。どんな企業であっても当事者になり得ます。いざ、その時になって、あたふたしているようでは、世間の信頼を失い会社が経営破たんする事も十分考えられます。
その様な事態を起こさないために、企業が生き残るための対策が必要なのです。
指示9で求めている対策
1 緊急時の対応体制の整備
指示9では、緊急時の連絡体制や初動対応マニュアルを作るよう求めています。ある程度の規模があるなら、前回も触れたCSIRTを構築しましょう。
<関連記事>
サイバー攻撃の被害最小化に必要な「情報共有活動」について
ここで一度想像してみましょう。今、あなたの会社にサイバー攻撃が行われて、PC画面に「情報はいただいた」等のメッセージが残されていたとしたら、あなたはどうしますか?
すぐに「すべきこと」がわかりますか?また、もし「すべきこと」がわかったとして、「しても良い」のでしょうか?
サイバー攻撃が起これば、日常の業務と違う行動を執らねばなりません。でも、大抵の人は“組織の人間”です。自分に与えられた権限は限られています。その権限の範囲内で必要な対応を全て執ることができるでしょうか。
実際には、かなり難しいでしょう。非常事態には、非常の権限を与えて必要な対策をスピーディーに展開させなければなりません。事前に体制を決めていなければ、まず不可能です。
しかし、たった一度サイバー攻撃発生であっても、会社の存続に直結する可能性だってあるでしょう。そのため「緊急時の対応体制の整備」は不可欠なのです。
2 定期的且つ実践的な演習の実施
事前に体制を組んでいることと、実際にその体制が機能することは別問題です。関東以北では東日本大震災で経験された方も多いかと思いますが、あの時連絡網は適切に機能したでしょうか。
多くの組織で、緊急連絡網はありました。かなりの組織で、電話が繋がらない場合の伝言ダイヤルの規則もありました。
しかし実際は「あれ?伝言ダイヤルってどうやるんだっけ?」という人も多かったことでしょう。
いくら体制を決めても規則を作っても、それが“出来る”とは限らないのです。だからこそ、いざという時に備え「定期的かつ実践的な演習の実施」も要求されているのです。
指示10で求められている対策
最後の指示10です。サイバー攻撃を受けて被害が出てしまった場合の準備です。
まず最初の「通知先の把握や開示すべき情報の把握等」はご理解頂けるでしょうし、対応の必要性も納得でしょう。
問題は、最後の「経営者による説明のための把握」です。
経営者による説明のための把握
皆さんが今までニュースで見てきた情報漏洩事件の記者会見を思い出してみてください。どんなイメージがありますか?
「信じられない会社だな」と思う場合もあれば「事件に巻き込まれてかわいそうだな」と思ったこともあるでしょう。この違いはどこからでてくるのでしょうか。
それは、“経営者が反省し、真摯な態度を見せているか”によって変わってくるのです。
責任を擦り付けるのはNG
- 事件が起きても「私が社長のときの話じゃない」と言い訳する
- 説明時に社長が出席せず、担当役員が説明する
上記の様な対応だと、「この会社は本当に反省してるの?」と感じますよね。事件が起きたら、大前提として“経営者が”反省している態度で説明しなければならないのです。
とはいえ、シナリオ無しで説明できる経営者は多くないでしょう。だからこそ、経営者が説明できるような資料を揃え、説明しなければならないことと、言ってはならないことを切り分けられるようにしておかなければならないのです。
結局、企業は信頼で成り立っています。サイバーセキュリティ事件が起きても、世間の信頼を損なわなければ企業は生き残れます。
そのためには、有事の際にサイバーセキュリティ対策を経営者が、責任を持って対応していることを示せることが最低限の条件になってくるのです。
最後に
8回にわたって、サイバーセキュリティ経営ガイドラインの進め方について解説をしてきました。
- ここまで説明したことに対応出来ている
- 有事の際にスムーズに出来る
これが、ガイドライン準拠の目安になります。
今まで対応してきていない企業にとっては結構大変かも知れません。ですが、ここを最低限として考えないと、世界標準にも国の方針に合致しないことになります。しっかりと取り組んでいきましょう。
次回のコラムはサイバーセキュリティ.comも宣言した「Security Action」についてみていきたいと思います。
<関連記事>
セキュリティアクションでセキュリティ対策自己宣言してみた!一つ星を取得する方法