全1873文字
PR

 日本企業における情報漏洩の被害が深刻さを増している。日本IBMは2020年8月25日、日本企業が情報漏洩した際に被る損失額が1件当たり約4億5000万円に達したとの調査報告書を発表した。

情報漏洩の平均総コスト(国・地域別)
情報漏洩の平均総コスト(国・地域別)
(出所:米IBM)
[画像のクリックで拡大表示]

 2019年8月から2020年4月にかけて世界17カ国・地域で発生した524件の情報漏洩を調査した結果をまとめた。損失額にはシステム停止によるビジネス機会の損失、顧客からの信用低下などを含んでいる。

 全体の平均被害額は約4億円で前年度の調査から微減となった一方、日本は約1割増えた。日本IBMは報告書で、情報漏洩の損失額を抑えるために「インシデント対応訓練の実施」や「事業継続マネジメント」とともに「CSIRT(コンピューター・セキュリティー・インシデント・レスポンス・チーム、シーサート)体制の整備」が重要になると指摘している。

役割増すCSIRT

 CSIRTはセキュリティーの事故(インシデント)に対して迅速に対応するための社内専門チームのことだ。サイバー攻撃が発生した際に、「初期消火」のように被害範囲を確定して抑え込みつつ、「サービスを停止するかどうか」「顧客や取引先にいつどのように通達するか」といった意思決定や実務を引き受ける。平時はセキュリティーの啓蒙活動や訓練を実施するケースが多い。

 ただ現代のCISRTは役割がさらに拡大している。2020年8月26日にCSIRTの運用強化策などに関するオンライン説明会を開催したPwCコンサルティングは、CSIRTの責任範囲が企業におけるサイバーセキュリティーの安全管理業務まで広がっている、と指摘した。

 背景にあるのは近年、特定の企業や組織を狙う「標的型サイバー攻撃」の増加とその手口の巧妙化である。CSIRTの運用体制の強化が一段と重要になっており、PwCコンサルティングによればCSIRTの設置効果を高めるための方策は4点あるという。「サイバーデセプション」「サイバーセキュリティ資産管理」「サイバーセキュリティプレイブック」「リスクスコア算出フレームワーク」――だ。

おとりで時間を稼ぐ

 最初の「サイバーデセプション」は、おとりの装置(ハニーポット)を社内ネットワークなどにしかけてサイバー攻撃者をおびきよせ、わざと攻撃させる仕組みのことだ。これにより守るべきIT資源が実際に攻撃を受けるまでの時間を稼ぎ、攻撃を迅速に検知できるようにできるという。

 もともとユーザー企業はIT資産について、ソフトウエアなどのライセンス管理を主眼に置いて管理してきた。サイバー攻撃の増加に伴ってセキュリティー強化の観点から「構成管理」の考え方やツールが普及したものの、実際の現場では「管理すべきIT資産の情報に漏れがあったり、そもそも情報が古かったりする。IT資産の情報が部門単位で分散し、CSIRTがアクセスできないケースすらある」(PwCコンサルティングの辻大輔デジタルトラストディレクター)。