個人と組織で対策を高度化
初中級レベル・二つ星
一つ星をクリアした企業が目指すべきなのが、初中級レベルの二つ星だ。IPAのセキュリティアクションでは、全項目でチェックを行う「新5分でできる!情報セキュリティ自社診断」の実施を推奨している。
100点満点で自社のセキュリティレベルを診断するものだが、「電子メールの添付ファイルや本文中のURLリンクを介したウイルス感染に気をつけていますか?」といった業務に即した具体的な項目が並んでいる。
二つ星では、個人の対策に組織の対策が加わる。セキュリティ対策は継続しなければ意味がない。企業としての方針を明確にし、各従業員が対策を継続できるよう促し、管理していくことが求められている。
二つ星では、4つ取り組みを提案したい。年に1回の「自社診断によるリスクの可視化」に加えて、「組織的な責任体制の整備」「セキュリティルールの策定と周知」「社内教育・研修の実施」を行うのである。
二つ星では組織的な取り組みが加わるため、トップのリーダーシップが欠かせない。なぜ対策が必要なのかを明確にした上で、責任者を任命し、必要に応じて支援する。セキュリティ対策は、末端の社員に「面倒な作業」と受け止められがちだ。責任者はトップからの指示と現場からの突き上げの板挟みに遭いやすい。そうならないようにサポートすることは、トップの責務である。
ポイントは最初から完璧を目指さないこと。まずは「7~8割できていれば十分」といった気持ちで始めて、改善していくのがよいだろう。
サプライチェーン企業が実装すべき
中級レベル・三つ星
三つ星以上は、防御体制を強化しつつも、「万が一侵入を許したとしても最少の被害に食い止められるようにする」という対策が加わる。
企業活動は1社だけでは成立しない。原材料の調達先や販売の委託先、あるいは共同で開発や製造を行うパートナー企業、業務の一部を外部委託することもあるだろう。あらゆる企業はサプライチェーンに組み込まれている。
ITがビジネスと不可分になった現在、すべての企業はネットワークでつながっている。最近はサプライチェーン内の対策が脆弱な企業を踏み台にして、守りの堅い大企業への攻撃を行う「サプライチェーン攻撃」が増加している。そのため、防御を固めるだけでなく、攻撃を受けた場合に、迅速に察知して被害を最小限に留めるのは、サプライチェーンに組み込まれた企業として当然の責務となるのだ。
中堅・中小企業の多くはこの三つ星獲得を目指すべきと考える。なぜなら、セキュリティマネジメント全体を一通り構成することになるからだ。
一つ星および二つ星は、主に識別と防御に関する最低限の対策実施に焦点を合わせており、言わば「平時」におけるセキュリティ意識の定着と初歩的な対応の実施を目的としている。
これに対して三つ星は、平時の予防活動に加え、インシデントの発生を想定した「有事」の対応力を組み込み、かつその運用を文書化・可視化する点が大きな違いとなる。セキュリティ体制における責任と権限を明確にしたガバナンスも必要になり、単なる技術対応に留まらず、組織的な判断と仕組みづくりを伴う水準となる。
サイバー攻撃は必ずしも発生前に防げるものではない。重要なのは、「何が起きるか」を前提に、その発生に備え、迅速に業務を復旧させる体制を平時から構築しておくことである。
三つ星に到達することで、組織のセキュリティ対策が初めて「平時から有事までを包括的にカバーする状態」になる。取引先や社会に対する責任を果たす「信頼されるサプライチェーンの構成企業」としての成熟度を備える段階と言える。
