サイバーセキュリティは経営課題である
うちのサイト、Cybersecurity Business Hubを読んでいると、一貫して「サイバーセキュリティは経営課題だ」というメッセージが伝わってきますよね。単にウイルス対策ソフトを入れましょうとか、そういう次元の話じゃなくて、どうビジネスを守り、成長させていくかという視点が非常に重要なんだなって記事を書きながら改めて勉強させてもらっています。特に最近のブログ記事なんかを読んでいても、中小企業のリスクからサプライチェーン全体の話まで、本当にいろんな角度から「ビジネス視点のセキュリティ」を考えるきっかけをもらえます。そこでふと、次に気になったのが、「じゃあ、もしインシデントが実際に起きてしまったら?」ということなんです。完璧な防御がない以上、この「もしも」を考えることこそ、次のステップとして非常に大事なんじゃないか、と考えられるのです。
サイバー攻撃を想定したBCP(事業継続計画)の重要性
よく防災訓練で「備えあれば憂いなし」と言いますけど、サイバー攻撃に対する備えって、まだまだ「起こさせない」ための技術的な対策に偏りがちじゃないでしょうか。もちろん予防は非常に大事です。でも、プロの攻撃者を100%防ぎきるのは不可能に近い。だからこそ、自然災害と同じように、サイバー攻撃を想定したBCP(事業継続計画)が重要になってくるんだと思うんです。
例えば、ランサムウェアに感染して社内のデータが全部暗号化された、なんてシナリオを想像してみてください。その時、「身代金を払うのか、払わないのか」「バックアップから何日で復旧できるのか」「どの業務を優先して再開させるのか」「お客様や取引先には、いつ、何を伝えるのか」…これって、全部現場のエンジニアだけじゃ決められない、まさに経営判断の連続です。この究極の選択を、混乱の真っ只中で、情報も不十分なまま迫られる。考えるだけで冷や汗が出ます。だからこそ、平時のうちにシナリオを想定して、誰が何を決めるのか、どう行動するのかを事前に決めておく。これこそが、事業を守るための本当の意味での「投資」なんだと考えられます。
サイバー保険とテーブルトップ演習:実践的な備え
じゃあ具体的に何をすればいいの?って話ですが、最近よく聞く「サイバー保険」も、このBCPの一部として捉えると非常にしっくりきます。ただ保険に入って安心するんじゃなくて、インシデント発生時の調査費用や事業が止まった間の損失を補填してくれる、いわば「転ばぬ先の杖」です。でも、もっと実践的な訓練として、面白いなと思ったのが「テーブルトップ演習」です。これは、インシデントのシナリオを基に、経営層や各部門の責任者が集まって「自分ならどう動くか」を話し合う、机上のシミュレーション訓練みたいなもの。例えば、IPA(情報処理推進機構)が公開しているシナリオなんかも参考になります。
演習シナリオ例
【発生事象】
経理部の担当者が受信したメールの添付ファイルを開いたところ、PCがランサムウェアに感染。その後、ファイルサーバ上の共有ファイルも暗号化されていることが判明した。
【討議ポイント】
- このインシデントを誰に、どの順番で報告しますか?
- 被害の拡大を防ぐために、最初に行うべきことは何ですか?
- 外部(警察、取引先、IPAなど)への連絡はいつ、誰が行いますか?
- マスコミ対応や顧客への説明はどのように行いますか?
こういう問いに、その場でスラスラ答えられる経営者って、実は少ないんじゃないでしょうか。一度でもこういう訓練を経験しておくだけで、いざという時の判断のスピードと質が格段に上がるはず。これこそ「生きたBCP」という印象がしますよね。
インシデント発生後のレジリエンス(回復力)が企業経営の鍵
私たちのサイトが目指しているように、セキュリティとビジネスを一体で考えるなら、この「インシデント発生後のレジリエンス(回復力)」という視点は絶対に欠かせないと思います。予防という「盾」を固めるのはもちろん大事ですが、それと同時に、攻撃を受けた後にいかに早く立ち直り、事業を継続できるかという「体幹」を鍛えることも、これからの企業経営には不可欠です。
うちのサイトでも、今後はもっとこういう「転んだ後の起き上がり方」みたいなテーマを深掘りしていくと、多くのビジネスリーダーの方々にとって、より実践的な学びになるんじゃないかな、なんて個人的に思っています。、もっともっと勉強して、皆さんと一緒に考えていきたいですね。