2017/07/18
海外のレジリエンス調査研究ナナメ読み!
田代 邦幸
自動車メーカー、半導体製造装置メーカー勤務を経て、2005年より複数のコンサルティングファームにて、事業継続マネジメント(BCM)や災害対策などに関するコンサルティングに従事した後、独立して2020年に合同会社Office SRCを設立。引き続き同分野のコンサルティングに従事する傍ら、The Business Continuity Institute(BCI)日本支部事務局としての活動などを通して、BCMの普及啓発にも積極的に取り組んでいる。一般社団法人レジリエンス協会 組織レジリエンス研究会座長。BCI Approved Instructor。JQA 認定 ISO/IEC27001 審査員。著書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)
今回は、BCMの専門家や実務者による非営利団体BCI(注 1)が 2017 年 6 月に発表した『Cyber Resilience Report 2017』(以下、「本報告書」と略記)をとり上げる。BCI は、この 1 年前にも同様の調査を実施して調査報告書を公開しており、紙媒体の『リスク対策.com』で紹介させていただいたが(注 2)、わずか 1 年でも意外に変化が見られた部分があったので、ここで改めて紹介したいと思う。
調査は BCI 会員を主な対象としてアンケートで行われ、69 カ国の 734 人から回答を得ている。およそ 1/3 程度が欧州からの回答であり、次いでアジアからの回答が 1/3 程度、北米からの回答が 1 割程度である。前回調査と比べるとアジアからの回答が大幅に増えている(注 3)。 回答者の役割を見ると、全体の半分弱が事業継続の担当者であり、リスクマネジメント、IT 災害復旧、情報セキュリティを担当している人がそれぞれ 1 割程度となっている。
調査結果を見ると、回答者の 64% が過去 12 ヶ月間にサイバー・セキュリティに関する何らかのインシデントを経験しているという。この数字は前回調査とほとんど変わらないが、内訳に若干の変化が見られる。
図 1 はその内訳であり、上位 5 位までの順序と割合はほとんど変わらないが、第 6 位にランサムウェアが登場している。これは前回調査では選択肢すら無かったものであり、ここ 1 年間でいかに急速に増えてきたかが分かる。
このランサムウェアに関しては本報告書でも特に注目しており、「Case study」として 1 ページを割いている。ここでは英国の国民保険サービスおよびドイツや米国の病院で発生した、ランサムウェアによるインシデントの事例が紹介されているが、ビットコインで身代金の支払に応じた例もあれば、バックアップされたデータを用いることで身代金の支払を免れた例もあり、組織内の IT 部門による迅速かつ適切な対処が重要であることが指摘されている。
また、ランサムウェアを仕込む主な方法がフィッシングやソーシャル・エンジニアリングであることから、従業員に対する教育や意識向上が組織のサイバー・ディフェンスを強化するために重要であると強調されている。
また図 2 は、サイバー・セキュリティ事故への対応計画の妥当性をどのように検証しているかを尋ねた結果である(注 4)。前回調査と大きく異なるのは、第 3 位に侵入テスト(penetration tests)が加わっていることである。これも前回調査では選択肢すら無かったものである(注 5)。前回調査と比べると、何らかの演習を実施するというものが全体的に上位に上がってきており、サイバー・セキュリティに関するインシデントの増加に伴い、具体的かつ実践的な対策に取り組む組織が増えていることが伺える。
本報告書では他にも、サイバー・セキュリティに関するインシデントによる被害額や、ソーシャルメディアに関する課題など、興味深い内容を多く含んでいる。ページ数も比較的少なく、全体的に図を多用した読みやすい報告書なので、ご一読をお勧めしたい。
■ 報告書本文の入手先(PDF 17 ページ/約 3.1 MB):
http://www.thebci.org/index.php/bci-cyber-resilience-report-2017
注 1) BCIとは The Business Continuity Institute の略で、BCMの普及啓発を推進している国際的な非営利団体。1994年に設立され、イギリスを本拠地として、世界100カ国以上に8000名以上の会員を擁する。http://www.thebci.org/
注 2) 本報告書の 2016 年版については、紙媒体の『リスク対策.com』vol. 56(2016 年 7 月発行)の連載記事「レジリエンスに関する世界の調査研究」第 15 回で紹介させていただいた。
注 3) 前回調査では欧州からの回答が 50%、北米が 16%、アジアが 10% であった。
注 4) 対策方法に関する調査結果は前回調査とほとんど変化が無かったので、本稿では記述を省略した。
注 5) 前回調査の時点で侵入テストを実施していた組織は、「起こり得るシナリオに基づく演習」などを選択していた可能性がある
(了)
海外のレジリエンス調査研究ナナメ読み!の他の記事
おすすめ記事
なぜ製品・サービスの根幹に関わる不正が相次ぐのか?
企業不正が後を絶たない。特に自動車業界が目立つ。燃費や排ガス検査に関連する不正は、2016年以降だけでも三菱自動車とスズキ、SUBARU、日産、マツダで発覚。2023年のダイハツに続き、今年の6月からのトヨタ、マツダ、ホンダ、スズキの認証不正が明らかになった。なぜ、企業は不正を犯すのか。経営学が専門の立命館大学准教授の中原翔氏に聞いた。
2024/11/20
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2024/11/19
ランサム攻撃訓練の高度化でBCPを磨き上げる
大手生命保険会社の明治安田生命保険は、全社的サイバー訓練を強化・定期実施しています。ランサムウェア攻撃で引き起こされるシチュエーションを想定して課題を洗い出し、継続的な改善を行ってセキュリティー対策とBCPをブラッシュアップ。システムとネットワークが止まっても重要業務を継続できる態勢と仕組みの構築を目指します。
2024/11/17
セキュリティーを労働安全のごとく組織に根付かせる
エネルギープラント建設の日揮グループは、サイバーセキュリティーを組織文化に根付かせようと取り組んでいます。持ち株会社の日揮ホールディングスがITの運用ルールやセキュリティー活動を統括し、グループ全体にガバナンスを効かせる体制。守るべき情報と共有すべき情報が重なる建設業の特性を念頭に置き、人の意識に焦点をあてた対策を推し進めます。
2024/11/08
リスク対策.PROライト会員用ダウンロードページ
リスク対策.PROライト会員はこちらのページから最新号をダウンロードできます。
2024/11/05
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
![危機管理2022[特別版]](https://risk.ismcdn.jp/mwimgs/f/6/160wm/img_f648c41c9ab3efa47e42de691aa7a2dc215249.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方