自社だけで頑張っていても

米国証券取引委員会(SEC)への提出書類では、主要なリスク要因として「ランサムウェア」について言及することがますます増えている。そのため、SECコンプライアンス検査局(OCIE)は7月、フィッシングキャンペーンとランサムウェア攻撃の増加を防止および対応するために、投資会社や投資顧問などに対してサイバーセキュリティー管理を「即座に」 レビューするよう求める警告(*4)を発行した。

ここでは迅速な通知や法執行機関との連携、インシデント対応手順の再検討を示唆するといったことも含まれている。

また、OCIEは米国国土安全保障省サイバーセキュリティーおよびインフラストラクチャセキュリティーエージェンシー(CISA)によって発行されたサイバーセキュリティーアラート(*5)を参照することを推奨しており、次の6つをポイントとして掲げている。

・インシデント対応と復旧のためのポリシー・手順・計画
・組織がビジネスサービスを提供し続けることができるよう、復旧するための計画
・サイバーリスクへの意識向上とトレーニングプログラム
・脆弱(ぜいじゃく)性スキャンとパッチ管理
・アクセス管理
・境界を設け、ネットワークトラフィックを制御・監視・検査

前の3つが組織面での対応、後の3つが技術面での対応となっているが、いずれも「想定」の上に成り立つことは想像に難くない。そして、OCIEではこれらの取り組みを対象事業者だけではなく、影響を受ける可能性のあるサードパーティのサービスプロバイダーとも共有していくことを推奨している。

そう、もはや自社だけで頑張っていても、サイバー攻撃やサイバー犯罪による被害は小さくできないのだ。

本連載執筆担当:ウイリス・タワーズワトソン Cyber Security Advisor, Corporate Risk and Broking 足立 照嘉

出典

(*1)https://www.computing.co.uk/news/4023770/manchester-united-suffers-sophisticated-cyber-attack-organised-crime-group

(*2)https://hello.global.ntt/en-us/insights/2020-global-threat-intelligence-report

(*3)U.S. Department of the Treasury, 2020, “Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments,” issued October 1, 2020.

(*4)https://www.sec.gov/files/Risk%20Alert%20-%20Ransomware.pdf

(*5)https://us-cert.cisa.gov/ncas/alerts