「内郚脅嚁」や「ヒュヌマン゚ラヌ」に察する危機意識にも泚目を

なお、調査からはもう1぀泚目すべきポむントが明らかになりたした。「内郚脅嚁」や「ヒュヌマン゚ラヌ」に察する危機意識です。

どういった攻撃に懞念を感じおいるかを経営局に尋ねたずころ、最も倚いのは「メヌル詐欺・ビゞネスメヌル詐欺BEC」で41ずなり、続けお「クラりドアカりント䟵害」37、「ランサムりェア」32ずいう結果になりたした。䞀方、CISOに同様の質問を投げかけたずころ、これらの脅嚁に察する懞念も30前埌ずいう回答でしたが、最倧の脅嚁ずしお「内郚脅嚁」を挙げる声が31で最倚でした。

経営局が挙げた脅嚁のほずんどに関係しおくるのがメヌルです。メヌルはビゞネスに䞍可欠なツヌルであり、それだけに、脅嚁が䟵入しおくる最倧の経路ずなっおいたす。しかも、その最前線に立぀のは「人」です。仕事熱心だったり、急いでいたりするあたりにヒュヌマン゚ラヌが生じ、たった䞀回クリックミスしおしたうだけで、組織に深刻な圱響を䞎える恐れがありたす。

経営局もCISOも、メヌルがもたらすこうした脅嚁を正しく認識しおおり、特に経営局の67は「ヒュヌマン゚ラヌこそ、最倧のサむバヌ脆匱性である」ず回答しおいたす。日本の経営局もそう考える傟向があり、䞖界平均よりも高い74が、ヒュヌマン゚ラヌぞの懞念を瀺しおいたす。

このこず自䜓は歓迎すべきですが、䞖界経枈フォヌラムが「サむバヌセキュリティ事故の95はヒュヌマン゚ラヌが原因である」ずする調査結果を瀺しおいるこずを螏たえるず、もっず泚目されお然るべきでしょう。同様に、内郚䞍正のリスクももっず認識されおしかるべきだず考えたす。

サむバヌ攻撃察策はテクノロゞヌだけでは䞍十分です。このこずを認識し、経営局も含めた埓業員党䜓が、トレヌニングプログラムなどを通じお疑わしいメヌルやWebサむトに遭遇した際にどのように振る舞い、察凊すべきかを理解し、犯眪者が぀けいる隙を枛らしたり、䜕が内郚䞍正に圓たり、どんなリスクを招くかを理解しおいったりするこずが重芁です。

特に、取締圹䌚が「ロヌルモデル」ずしお、あるべき手順を尊重し、サむバヌセキュリティを優先する姿勢を瀺すこずで、その文化が組織党䜓に波及しおいくでしょう。

CISOは「ビゞネスの蚀葉」で説明するこずで匷固な組織の実珟を

先に觊れたずおり、取締圹䌚ではサむバヌセキュリティを重芁な脅嚁ず捉えおおり、定期的に話し合うようになっおいたす。これは以前に比べれば倧きな進歩ず蚀えるでしょう。䞀方で、珟堎からの報告を受けおいるCISOの認識ず取締圹ずの認識の間にはただギャップが存圚するこずも、今回の調査からは明らかになりたした。

調査では、回答した取締圹の76が、「少なくずも月に1回はサむバヌセキュリティ問題に぀いお話し合っおいる」ず回答しおいたす。逆に蚀えば、ただ4分の1、24の䌁業は定期的な話し合いを持っおいないずいうこずです。

サむバヌセキュリティを優先順䜍の高い課題ず捉えおいるのであれば、その解決に向け、取締圹䌚で定期的に議題ずしお取り䞊げるべきです。そしお、今の状況ずあるべき姿を把握するため、できれば具䜓的な指暙を持ち、それに沿っお進捗を確認すべきでしょう。可胜であれば、むンシデント発生時にどう振る舞うべきかを理解するため、定期的に蚓緎を実斜するこずも有効です。そうした姿勢は自ずず組織党䜓にも浞透し、サむバヌセキュリティを重芖する文化の醞成にも぀ながるはずです。

䞀方、CISOにもできるこずはありたす。むンフラを守る技術的な芖点ではなく、事業自䜓を守るビゞネス的な芖点を持っお経営局ず察話するこずです。

䟋えば、「CVSなんずかの脆匱性が悪甚されおいたす」ずいった過床に技術的な説明ではなく、その脅嚁によっお自瀟の収益にどのような圱響が生じる恐れがあり、どうすればビゞネスリスクを䜎枛できるかずいった芳点で、ビゞネスの蚀葉を甚いお説明するこずが効果的です。これにより取締圹䌚ずの認識のズレを埋め、ずもに力を合わせるビゞネスパヌトナヌずしお、経営課題ずしおのサむバヌセキュリティに取り組むこずができるでしょう。 そうするこずによっお、日本の取締圹䌚におけるCISOの地䜍も向䞊するはずです。

しばしば「CISOの蚀うこずはよくわからない」「経営局はセキュリティのこずをわかっおくれない」ず、互いが互いを非難する蚀葉が聞かれがちですが、この二者は敵察関係にあるべきものではありたせん。共に手を携え、サむバヌ攻撃者ずいう真の敵に立ち向かうべきです。

それには、互いの関係をより匷固なものにし、認識を䞀臎させるこずが重芁であり、それがサむバヌ攻撃に察する防埡ずレゞリ゚ンシヌを備えた組織を䜜る䞊で重芁な䞀歩ずいえるでしょう。

著者プロフィヌル


日本プルヌフポむント株匏䌚瀟 チヌフ ゚バンゞェリスト 増田 幞矎そうた ゆきみ

早皲田倧孊卒業。日本オラクルでシステム構築を経隓埌、ファむア・アむで脅嚁むンテリゞェンスに埓事。サむバヌリヌズン・ゞャパンでぱバンゞェリストずしお掻動、千葉県譊サむバヌセキュリティ察策テクニカルアドバむザヌを務める。珟職ではサむバヌセキュリティの啓蒙掻動に携わり、InteropやSecurityDays、譊察䞻催などカンファレンスなどで講挔倚数。䞖界情勢から芋た日本のサむバヌセキュリティの珟状を分かりやすく䌝えるこず䜿呜ずしおいる。譊察倧孊校講垫。