総務部のためのサイバーセキュリティ
はじめに
当社では、2008年より全社規程体系整備や感染症対策BCP、2011年より災害対策BCPの支援を提供し、2013年より 「サイバーセキュリティ」に関するコンサルティングを提供しています。
このコラムでは、当社代表が2002年よりサイバーセキュリティ業界において、人事業務、総務業務、インシデント対応のアドバイザリー等を行ってきた経験を踏まえて、総務部門において「サイバーセキュリティ」を考えていかなければならないことになってしまった場合の対応について解説していきます。
どんどん難解になっていくサイバーセキュリティ
2000年以降、情報セキュリティという表現であったIT領域におけるセキュリティの取り組みも、2011年頃からはサイバー空間におけるセキュリティということで「サイバーセキュリティ」という表現が多用されるようになってきました(情報セキュリティ自体は1992年のOECDの資料から確認できますが、 それ以前から情報セキュリティを担当していた方もいますし、2005年のISMSのISO化以降に触れている方もいらっしゃいます。2000年以降は筆者の経験によるものです)。
米国では10年以上前から「サイバーセキュリティ」という表現を多く見かけるようになっていましたが、その頃の日本では、「サイバーセキュリティ」という表現はまだ劇画か映画か漫画のような世界観で受け入れられ、インターネット越しに攻撃を仕掛けてきて、会社事業が停止させられるという事案については一部の方々しか考えていませんでした。
尚、日本においては、平成26年(2014年)に「サイバーセキュリティ基本法」が施行されましたので、少しずつ、官公庁のガイドライン等においても「情報セキュリティ」から「サイバーセキュリティ」への変化が見受けられます。
特に、令和4年(2022年)6月17日のサイバーセキュリティ戦略本部において、「サイバーセキュリティ2022」の他、「重要インフラのサイバーセキュリティに係る行動計画」と「サイバーセキュリティ関連施策に関する令和5年度予算重点化方針」が発表されたことにより、「サイバーセキュリティ」の取り組みが、社会的共通認識として普及啓発されていくものと考えています。
サイバーセキュリティ戦略本部 第34回会合
https://www.nisc.go.jp/council/cs/index.html#dai34
特に、重要インフラ事業者に対する「サイバーセキュリティ」の要求により、その取引先にあるあらゆる企業に「サイバーセキュリティ」の実現が要求されることになりますので、一度は内容を確認いただいた方がよいと思われます。
サイバーセキュリティを考えるための材料
サイバーセキュリティを考えていくためには、いくつかのポイントがありますので、整理しておきたいと思います。
1.サイバーセキュリティって何?
この点については、総務省が公開する「国民のためのサイバーセキュリティサイト」を見て頂くのが早いと思います。
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/index.html
このページの真ん中にある「はじめに」の下に「サイバーセキュリティって何?」という文字がありますので、そちらをクリックしてみてください。
2.サイバーセキュリティは何を気にしておくべきか?
どのような点を注意しなければならないかは、経済産業省の公開する「サイバーセキュリティ政策」の「最新情報」がよいでしょう。
https://www.meti.go.jp/policy/netsecurity/index.html
このページの上部に、経済産業省の取り組みが紹介されており、その中でも「注意喚起」だけは見ておいていただきたいものです。
3.サイバーセキュリティは何をしなければならないのか?
サイバーセキュリティの取り組みを考える上で、注意喚起を見ても、必要な対策は分かりません。
そのため、情報処理推進機構(IPA)の「情報セキュリティ」を見て頂くのがよいでしょう。
https://www.ipa.go.jp/security/
もし、取引先等から、サイバーセキュリティ(や、情報セキュリティ)の取り組みが要求されていたり、取り組み状況の報告が求められている場合は、以下のページを個別に確認頂くのもよいと思います。
IPA 情報セキュリティ対策支援サイト
https://security-shien.ipa.go.jp/
もし、早急に対策状況を報告しなければならないという切羽詰まっている状況であれば、まずは、上記リンクから「対策実践者の方」というタブを開いて、各ページにある説明を確認しながら、必要書類を作成して頂くことになります。
また、サイバーセキュリティの取組みのイメージをもう少し広げたい場合には、以下の情報もあります。
4.サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集
https://www.ipa.go.jp/security/fy30/reports/ciso/index.html
実務担当者向けの資料で、様々なケースがまとめられています(当社代表も本資料作成の委員を務めていたものでおススメです)。
5.経団連 サイバーリスクハンドブック
https://www.keidanren.or.jp/policy/cybersecurity/CyberRiskHandbook.html
経営層向けの資料で、5つの原則について記載されています。
取引先や親会社が経団連加盟企業である場合は、ぜひ一度確認頂きたいものです。
サイバーセキュリティの世界を理解する
サイバーセキュリティの世界を理解すると書きましたが、サイバーセキュリティの業務を担っていない場合、最初からその世界を理解しようとするのはあまり意味が無いと考えています。より身近な課題から振り返り、考える幅を広げて頂くのがよいと思います。
まず、以下のリスクに対して、どのような機能・機構・専門家が働いているのかを確認します。
1.会社施設に不審者が現れた
初動は、総務部門が対応するでしょう。夜間であれば警備会社が対応するかもしれません。
その後、警察に通報し、対処してもらうこともあるかと思います。
2.会社資産が盗難にあった
会社に泥棒が侵入して、資産や資金を盗まれた場合、警備会社が動き、警察が捜査をします。
3.会社貸与のPCを紛失した
会社のPCを失くした場合、警察に通報するようにルールが整備されているはずです。
4.会社が保有する個人情報が漏洩した
個人情報を漏洩した場合、個人情報保護法や個人情報保護委員会の発行するマニュアルに基づき対処します。
漏洩事案については、個人情報保護委員会に報告することが義務付けられています。
さて、続けて考えてみます。
5.会社のUSBに保存していたデータを、USBごと紛失した
USBの紛失については盗難・紛失届を出せますが、中に格納されたデータはどうやって取り戻すのでしょうか。
6.会社のファイルサーバにあるデータが盗まれた形跡を見つけた
会社の重要なデータが盗まれて、WEB上で公開または販売されていた場合、警察はそれを消したり、取り戻したりできるのでしょうか。
7.ランサムウェアの被害にあって、会社の多くのPCが暗号化されて、身代金を要求された。
ランサムウェアの被害にあって、経理部門のPCが使用不可となった場合、取引先への支払いや給与振り込みは誰が代行するのでしょうか。できるのでしょうか。
このように、手で触れられる現物がある場合や、法律が定められ監督官庁が決まっている場合は、それぞれ報告・相談及び対処を行う組織や人が特定でき、苦労しながらも適切に対処することが可能です。
しかし、データの世界に入っていきますと、複製可能なデータを取り戻したり消したいすることが困難になり、会社の大切な資産が棄損されていくことになります。このようなデータの世界(が流通するサイバー空間)における「セキュリティ」を考えて頂くのが「サイバーセキュリティ」ということになります。
システム環境によって大きく変わる「サイバーセキュリティ」
では、サイバーセキュリティを実現するためには何が必要なのかについては、上記「サイバーセキュリティを考えるための材料」で紹介した諸資料を見て頂くのが早いのですが、多くの教育事業者がセキュリティ研修等を提供しており、同じく当社でも教材を提供しています。
まずは、上記リンク先を確認頂き、またいくつかの教育事業者のコンテンツも確認頂くのがよいかと思います。
ちなみに、サイバーセキュリティを考えなくて良いときもあります。某大臣も触れていましたが、PC・スマホ等を使わないで仕事をする時ということになります。
初版:令和4年8月15日