民間の一般企業や、地方自治体がやるべきことは「3つ」ある
F:大臣から政府の対応について伺いましたが、民間の企業や、地方自治体がやるべきことはありますか?恐らく当記事の読者には、ご担当の方も多いと思います。「明日からやるべき最低限のこと」を教えてください。
平: やるべきことはたくさんありますが、ポイントを三つに絞りましょう。
一つめはクラウド優先です。オンプレ(on-premises)でネット接続のサーバーを抱えるなら、クラウド事業者レベルの高度な運用をする覚悟が必要です。その体力がないのであれば、信頼できるクラウドへ寄せるべきです。
二つめは常時監視。サイバー攻撃はいつも「静かな異常」から始まります。ログの集約と相関分析で揺らぎを可視化して、外部SOC(Security Operation Center)も活用して24時間365日体制で監視する必要があります。そしてMTTD(検知時間)とMTTR(復旧時間)をKPIにする。
三つめは官民連携です。業界のISAC(Information Sharing and Analysis Center)や重要インフラ協議会、新法に基づく協議会などに加入いただければ、セキュリティ・クリアランスの枠内で、政府の機微情報もタイムリーに返却することができる。中小企業はIPAの「サイバーセキュリティお助け隊」を遠慮なく使う。サイバー保険・法律顧問・フォレンジックは平時のうちに契約しておく。加えて訓練です。防災訓練をするように、四半期ごとの机上演習、年1回の実地演習を行う。汗をかいた経験が、いざというときの最大の資産になるのです。
F:な……なんかものすごく大変ですね……そこまでやらないとダメですか。
平:いまお話したのは、本当に最低限の話です。防災訓練だって定期的にやるでしょう?だったらもっと危ないサイバー防災訓練だってキチンとやるべきです。
