全4回にわたってご紹介した「SecurityDays東京」セミナーポート。
いよいよ今回が最終回です!
本日はKPMGコンサルティング株式会社小川真毅氏による、増加するサイバーリスクに対する次世代型サイバーセキュリティオペレーションについてのお話です。

次世代型セイバーセキュリティオペレーションの勧め
~ソリューションの最適配置による経営効率化~

■KPMGコンサルティング株式会社 小川真毅氏

経営課題としてのサイバーリスク

kpmg

標的型攻撃を始めとするサイバー攻撃は2014年から急激に増加しています。

2015年、アメリカでは「ブラックハット」と総称される著名ハッカーにより、世界的自動車メーカーの人気車種をハッキングすることで、外部から遠隔操作でエンジンの作動やハンドル操作を行えるとのデモンストレーションが公表されました。
これにより、該当のメーカーは複数車種約140万台のリコールを発表。
さらに、使用していた無線回線を提供する通信業者にも影響が及び、株価は8%の下落となりました。

ビジネスにおいて様々な企業・サプライヤーの連携が行われることで、セキュリティインシデントリスクも増大しているのです。

この様な現状を踏まえ、重要社会基盤事業者は「サイバーセキュリティ基本法」の中で、企業が“自主的”且つ“積極的”にサイバーセキュリティの確保に努めることを求めています。
つまり、企業にとって「サイバーリスク」は軽視する事の出来ない「経営課題」と言えます。

サイバーセキュリティ経営のための3要素

貴社では、下記質問に明確に応えることが出来るでしょうか。

1 組織のサイバーセキュリティに関する一元的責任者(CISO)は?
2 サプライチェーンにおけるサイバーセキュリティリスクは?
3 業界における自社のサイバーセキュリティレベルは?
4 ビジネス継続に不可欠な情報資産は?
5 自社のリスク嗜好性は?

この質問に応えることが、企業にとっての「説明責任」です。
そしてこの説明責任を果たすために必要不可欠な3要素として下記が挙げられます。

◇ 経営者のリーダーシップ
◇ サプライチェーンを含むガバナンス
◇ 適切なコミュニケーションと情報開示

自社の守るべき情報を経営者自らが棚卸し、全社員で管理に対しての意識統一を図ること。
情報共有が行われる全サプライヤー間でのガバナンスの統一。
コミュニケーションルートの簡素化によるリアルタイムでの報告。
これらを段階的にしっかりと構築していく事で「サイバーセキュリティ経営」は実現できるのです。

次世代型サイバーセキュリティオペレーション

では、サイバーセキュリティ経営の実現に向け、有用なオペレーションとは何でしょうか?

◇経営者のリーダーシップを確立するためには
→意思決定の材料となる“サイバー分析”が必要

◇サプライチェーンを含むガバナンスの実現には
→サイバーセキュリティ対策状況の“モニタリング”が必要

◇適切なコミュニケーションを構築するには
→“サイバーセキュリティインシデント対応体制の構築”が必要

これら全てを行ったうえで、企業の中でライフサイクル化し、常に精度を向上させていく事で、継続的なサイバーセキュリティ経営となります。

また、近年の攻撃側の技術革新に対して、常に各ソリューションの最適配置を行うことや、未知の脅威に対して先手を打って対策を講じる“インテリジェンス指向”も持ち合わせる事が理想です。

ソリューションの最適配置においては、投資対効率(ROI)の最大化を図ることが重要です。
自社の環境に合っているのか、機能や範囲に重複や欠落はないか、サイバー攻撃の進化に対応できているかなどを総合的に判断する事が必要となります。
また、これらの判断材料を全て満たすソリューションがあった場合でも、自社の運用プロセス、体制で利用できるのかどうかの最終判断も忘れてはいけません。

KPMGが提供するアドバイザリーサービス

kpmg

KPMGのネットワークは全世界155ヶ国、162,000以上のスタッフ数を誇り、監査・税務・アドバイザリーに関するサービスを提供しています。
サイバーセキュリティアドバイザリーに関しては、組織立ち上げやポリシー立案をサポートする「マネジメントサービス」から、成熟度評価や各種診断を行う「アセスメントサービス」まで、4種類ものアドバイザリーサービスを展開しています。
企業にとって、現状を理解する事から、理想とするサイバーセキュリティ経営を実現するまでの各段階を効果的に補佐する、安心のサービスなのです。

まとめ

世界各国に広がるKPMGネットワークが、企業のセキュリティにおいての専任アドバイザーとなる安心感はとても大きいのではないでしょうか。
SecurityDaysでは、各セクション多少の差はありましたが、真のセキュリティ環境構築のためには“段階的なプロセスが必要”という事がよくわかりました。
専門家の評価を知ることは、自社に必要な項目を明らかとする上で最善の方法なのかもしれませんね。とても勉強になる1日でした!

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。