PR

 前回までで、情報セキュリティ監査人の視点から日本でサイバー脅威が高まっているトレンドとその要因を分析した。今回は具体的に対応の要点を解説する。具体的には次の5つだ。

  • 「情報セキュリティ十大トレンド」で示した環境変化に応じて、情報セキュリティ対策範囲を見直しているか
  • 組織でリスク認識を共有しているか
  • 環境変化に応じてルールや業務プロセスを修正しているか
  • セキュリティイベントをきちんと報告・分析できる体制か
  • 技術的に備えているか

 以下、順に解説していく。

「情報セキュリティ十大トレンド」で示した環境変化に応じて、セキュリティ対策範囲を見直しているか

 働き方改革の進展に伴って、セキュリティ対策の範囲を社内から社外に広げる必要がある。IoT(インターネット・オブ・シングズ)機器などネットワーク技術がからむセキュリティ対策ではメーカーだけでなく、ISP(インターネット接続事業者)やユーザーとの連携が不可欠だ。

 このようにセキュリティ対策の範囲や主体が広がり、かつ、境界が曖昧になっている。場合によっては対策すべき境界を定義しなおすことも必要だ。定義の変更に伴い、連携する組織との責任分担の見直しや社外でのルールの構築も必要となる可能性がある。

組織でリスク認識を共有しているか

 前回述べたように、新しい労働環境を踏まえたリスク分析が必要だ。その分析を踏まえた対策には、全社横断的な対応が新たに加わる可能性がある。

 働き方改革のリスクへの対策には人事部門と総務部門とIT部門、ビジネスメール詐欺の対策には営業部門と経理部門とIT部門の連携が不可欠になる。円滑に連携し、迅速に対策できるようにする鍵は、事前に働き方改革やメールの何がリスクとなってきたのかを共有しておくことである。

環境変化に応じてルールや業務プロセスを修正しているか

 リスク分析の結果を踏まえ、ルールや業務プロセスの修正が欠かせない。ビジネスメール詐欺の対策として、例えば「メールで振込先の変更を依頼された場合、電話で先方に内容を確かめる」という確認作業を追加するだけで、被害防止につながる。「ふるまい検知」を回避する新手のマルウエアの対策では、外部への不正通信の厳格な監視などを追加する必要がある。

 また、前回説明したように、テレワークでショルダーハッキングを防ぐにはPCにのぞき見防止フィルターを装着することが有効だ。ただ、導入が簡単な半面、徹底が難しいルールでもある。こうしたものをどう現場に根付かせるかの工夫も大切だ。