セキュリティ対策と利便性はトレードオフの関係にあります。ガチガチに固めれば業務効率は当然落ちます。「絶対に守るべきコア資産・コア業務は何か」「多少リスクがあっても利便性を優先すべき業務はどこか」。この線引きは、サイバーセキュリティの担当者にはできないことが多いのではないでしょうか。経営者が事業戦略に基づき、「プロアクティブに(先回りして)割り切る」判断を下すことが、攻めつつ守るスタンスへの第一歩です。
「机上演習」で徹底すべき3つの視点
そして、100%の防御が不可能ならば、事案の発生を想定して「準備」をする必要があります。事案対処の中で下すべき判断の重さを理解するために最も有効なのが、経営陣を交えた「机上演習」です。しかし、多くの企業で行われている演習は「形式的」なものになりがちです。真に経営課題としてのリスクを可視化するためには、以下の3つの視点を徹底してください。
「サーバーAがダウンしました」「DDoS攻撃を受けました」といったIT的な指標で演習をしてはいけません。例えば、24年に発生したイセトーのランサムウェア被害では、同社が委託を受けて行っていた帳票印刷、通知書作成、データ処理といった業務そのものが停止しました。その結果、発注元である自治体や企業では、帳票の発送遅延や業務停滞が発生しました。
さらに、この事案では、業務への影響にとどまらず、委託先としてイセトーが預かっていた自治体や企業の情報(個人情報を含む)が漏洩する事態にも発展しています。ここで重要なのは、問題の本質が「ランサムウェアに感染した」というIT上の事象ではなく、業務の停止や情報管理の問題という、業務リスク・経営リスクとして顕在化した点です。
IT目線で「ランサムウェア被害への対応」にのみ焦点を当てていると、サイバー攻撃の被害によって発生する顧客対応、説明責任、信用低下といった経営課題を見落としかねません。
このように、「基幹システムが停止し、月末の請求処理ができず資金繰りに影響が出る」「委託先の障害や情報漏洩によって、自社が顧客・取引先への説明対応を迫られる」といった、業務と経営にどのようなインパクトが出るかを軸に、具体的な損失額や社会的信用への影響などを想定した机上演習のシナリオを設計してください。
次ページが続きます:
【最も大切な「組織文化」は構築できているか?】
