サイバー攻撃に強い企業は何が違う？ ～事業継続に不可欠な「キーパーソン」～

評価軸は稼働を止めないこと

月曜日の朝、オフィスのPCが正常に起動せず、ランサムウェアの侵入が疑われたとしましょう。ネットワークからの遮断、影響を受けた機器とデータの把握、バックアップの確認、経営層と関連部署への連絡、監督官庁や警察への通報など、やるべきことは山積しています。このとき、対応の責任者が不明確だったり、相談先が分野ごとにバラバラだったりすると、初動の遅れは避けられません。

初動対応の躓きは、被害が拡大するだけでなく、サプライチェーン全体と扱う製品によっては地域経済にも影響を与えてしまいます。こうした深刻な事案が増えている中、企業にはサイバー攻撃を受けても被害を最小化しながら事業を継続する力、事業継続計画の整備がこれまで以上に重視されるようになってきました。

稼働を止めないカギは牽引役の存在です。もちろん、攻撃の阻止と被害を最小化するシステムの整備、有事の際のルール作りなど、なすべき行動は多いのですが、本稿ではそれらを牽引するキーパーソンの重要性と資質について掘り下げてみます。

関係省庁も責任者・管理者を重視

ここ数年、経済産業省や中小企業庁、IPA（情報処理推進機構）などの公的機関も、事業継続計画の整備とセキュリティ対策に関する啓発と支援を行っており、各所から発信されている情報を一覧すると、ほぼ例外なく責任者・管理者の重要性と責務に触れています。一例を挙げてみましょう。

中小企業庁が所管する「事業継続力強化計画（通称ジギョケイ）」という認定制度でも、セキュリティ対策を地震などの自然災害と並ぶ支援対象としています。関連文書の「事業継続力強化計画策定の手引き」では、サイバー攻撃によって稼働停止に追い込まれないための事前対策の一つとして、責任者の明確化と体制整備を要請。申請時におけるポイントとして、以下のような例を示しています。

　「情報セキュリティ責任者を中心とした体制を整備する」

　「専門人材の雇用及び外部専門家（セキュリティサービス提供事業者）を活用する」

　「権限の集中・分散による脆弱性リスクを踏まえ、権限付与を見直す」

「事業継続力強化計画認定制度」の概観

出典：「事業継続力強化計画」 公式サイト　（中小企業庁/中小企業基盤整備機構）

もう一つは、IPAの「中小企業の情報セキュリティ対策ガイドライン（第4.0版）」。こちらはセキュリティ対策全般を対象にした文書ですが、第2部 実践編の「体制の整備」という項目で、責任者・管理者に触れています。詳細はこの部分と「中小企業のためのセキュリティ人材確保・育成の実践ハンドブック（付録）」も併せて参照してください。

中小企業こそキーパーソンを

セキュリティ対策と事業継続の文脈では、専門家を軸としたチーム編成や多層的な防御の整備など、大企業向けの話が多いのですが、中小企業もなすべき行動は少なくありません。今回のテーマであるキーパーソンの設置に関しては、むしろ中小企業の利点が出やすい領域と言えます。

大企業の多くは組織が縦割りですから、インシデント発生時の報告ルート一つ見ても複雑になりがちです。その点、中小企業は「経営者+キーパーソン」の体制があれば、迅速な意思決定と社内への周知がその場でできるのです。

前述した「中小企業の情報セキュリティ対策ガイドライン」では、行動指針の一つとして「セキュリティ対策には経営者が主体的に関与」「情報セキュリティの担当者を定める」と明示しています。これに沿えば、組織がシンプルで権限が集中しやすい中小企業こそ、「経営者+キーパーソン」の効力が伝わりやすい環境と言えます。次にキーパーソンの資質について考えてみましょう。

セキュリティ委員会の体制。小規模の組織も責任者と管理者を軸としたラインを形成する

出典：「中小企業の情報セキュリティ対策ガイドライン（第4.0版）」  IPA（情報処理推進機構）

高度な技術力よりコーディネートの力を

「セキュリティ責任者」と言うと、特に大企業ではCISO（最高情報セキュリティ責任者）という経営幹部を置くところが増えていることもあって、高度な専門知識と経営の視点を併せ持つ技術系人材のイメージが強いかと思います。

中小企業もその線を踏襲できればいいのですが、セキュリティ技術者が足りない現況では、必ずしもエンジニアである必要はありません。キーパーソンが動く局面は、インシデント時の全体像の把握、関連部署への通知、外部への公表内容と時期の判断、セキュリティ企業との連携と折衝など、技術的な専門知識より行動力と調整力が求められる場面も少なくないからです。

マルウェアの侵入経路や挙動の精査に没頭するあまり、影響範囲の把握や関係部署への連絡が遅れ、被害拡大や操業停止を招く事態は避けなければなりません。

もちろん、個々のシステム担当や外部のセキュリティ関係者と話をするための基礎知識は必要ですが、中小企業のキーパーソンには、エンジニアとしての高度な能力より、有事のコーディネーターとしての力がより重視されるというわけです。

キーパーソンに必要な資質は？

コーディネーターも業務とシステムの両面を見ながら、リスクの度合いや対応の優先順位を決める力量は必要です。組織の業務内容に詳しい、業務システムにも明るい、セキュリティにも一定の関心を持つ、そして豊富な経験と学習意欲を備えるなどの要件に当てはまる人がベターですが、すべてを満たさなくともいくつか合致する人を選出してください。

セキュリティの基礎知識に関しては、警察庁が定期的に発行する「サイバー空間をめぐる脅威の情勢等について」、IPAの「情報セキュリティ10大脅威」など、セキュリティ関係者が目を通す文書は、一通り内容を把握しておきます。特にランサムウェア攻撃や企業を狙うフィッシングなど、中小企業にとってもリスクが高い分野は、常に知識をアップデートしましょう。

またシステム担当や外部のセキュリティ企業などが蓄積している過去の事例も、折に触れて吸収してください。攻撃を受けた経緯、システム構成とセキュリティ対策、そして要員の配置と権限は組織によって違いますから、緊急時における対応は一つではありません。攻防の記録をできるだけ吸収しておくことは、有事の際の意思決定に役立つはずです。

社内の人材を任命・育成する方法の一例

出典：「中小企業のためのセキュリティ人材確保・育成の実践ハンドブック」　IPA（情報処理推進機構）

キーパーソンを任命した後は、経営者とシステム担当などを交えて、役割と対応範囲を整理しておきます。この点は、企業の規模と業種、人員配置、システムの仕様などによって細部は異なりますが、外部のセキュリティ企業などの知見も借りながら、最低限以下の項目は明確化しておきましょう。

・サイバー攻撃を疑うべき事象と対応開始の基準

・有事の際の連絡体制（社内・社外）

・被害状況に応じた初動対応の手順（端末隔離、連絡、事象の記録など）

・平時における訓練の実施とその方法

・キーパーソン不在時の代行体制

脅威インテリジェンスを基礎体力に

キーパーソンが必要な知識を吸収し、社内外の関係者とも平時からコミュニケーションを取っていたとしても、緊急時の判断に迷い初動対応を遅らせてしまうリスクは、なかなかゼロにはできないでしょう。

意思決定が遅れる理由は、能力の不足ではなく情報が不足するケースが多いと思われます。例えば、手元に集まったデータに攻撃と断定できる基準はあるか、データにリアルタイム性、新手の攻撃と判断できる根拠はあるかなど、意思決定を支援するリソースの不足です。サイバー攻撃の実態をよく知る技術者が側にいたとしても、情報が不足していては勘に頼る部分が残ることは避けられません。

では、選ばれたキーパーソンが迅速に判断を下すためには、何が必要でしょうか。それが「生きた情報」です。

脅威インテリジェンスは、サイバー攻撃に関する多様かつ最新のデータを提供します。攻撃者が標的企業の情報やツールをやり取りするダークウェブやディープウェブも監視し、攻撃阻止と被害を最小化するための材料で意思決定をサポート。有事における事業継続力を維持する基礎体力の一つとして、脅威インテリジェンスの知見を加えてはいかがでしょうか。