サイバーセキュリティの統制が甘すぎる
第30回:サイバー攻撃への組織対応はBCPか?
林田 朋之
北海道大学大学院修了後、富士通を経て、米シスコシステムズ入社。独立コンサルタントとして企業の IT、情報セキュリティー、危機管理、自然災害、新型インフルエンザ等の BCPコンサルティング業務に携わる。現在はプリンシプル BCP 研究所所長として企業のコンサルティング業務や講演活動を展開。著書に「マルチメディアATMの展望」(日経BP社)など。
2024/08/09
企業を変えるBCP
林田 朋之
北海道大学大学院修了後、富士通を経て、米シスコシステムズ入社。独立コンサルタントとして企業の IT、情報セキュリティー、危機管理、自然災害、新型インフルエンザ等の BCPコンサルティング業務に携わる。現在はプリンシプル BCP 研究所所長として企業のコンサルティング業務や講演活動を展開。著書に「マルチメディアATMの展望」(日経BP社)など。
違和感が二つあります。一つは、近年、ランサムウェアによるサイバー攻撃を受けた上場企業がいう「サイバーセキュリティのBCPを構築していました」という説明。サイバーセキュリティにBCP? 言葉の使い方に、いささかの違和感を覚えます。
通常、BCPの定義は専門家の間でも意見が分かれることがあります。地震などの自然災害、パンデミック感染症、テロ、戦争などの外的要因に対し、危機管理統制部門が有事の司令塔になるべくマネジメントシステムを構築する枠組みがBCPだとすると、なるほど確かに、サイバー攻撃は外的要因で、しかも地震のように突然やってくる、企業や組織にとってはまさしく「災害」です。
ただ、サイバーセキュリティの統制において、NIST (アメリカ国立標準技術研究所)の CSF(サイバーセキュリティフレームワーク)ではなく、BCP?という違和感です。
昔は、情報セキュリティは70 点くらいの対応でほぼ守れるはずと考えられていて、それでもほとんどの上場企業は予算を投じることを渋り、システムは陳腐化し、担当者のスキルも低下し、担当役員もいない、50 点くらいの対応でした。インシデントが発生するのは運だと言わんばかりに時を過ごし、機密情報を盗まれるぐらいは目をつむって、というより盗まれていることも分からないという企業がほとんどでした。
そうした状態を何年も過ごした後、犯罪者はランサムウェアという金になる木を手に入れ、ランサムウェアSaaSとしてビジネスに昇華させ、さらにAIも活用し、サーバ管理者にターゲットを絞った標的型に進化させ、担当者の買収なども含めて、手口は年々巧妙になってきています。
企業を変えるBCPの他の記事
おすすめ記事
リスク対策.PROライト会員用ダウンロードページ
リスク対策.PROライト会員はこちらのページから最新号をダウンロードできます。
2025/01/05
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2024/12/24
能登の二重被災が語る日本の災害脆弱性
2024 年、能登半島は二つの大きな災害に見舞われました。この多重被災から見えてくる脆弱性は、国全体の問題が能登という地域で集約的に顕在化したもの。能登の姿は明日の日本の姿にほかなりません。近い将来必ず起きる大規模災害への教訓として、能登で何が起きたのかを、金沢大学准教授の青木賢人氏に聞きました。
2024/12/22
製品供給は継続もたった1つの部品が再開を左右危機に備えたリソースの見直し
2022年3月、素材メーカーのADEKAの福島・相馬工場が震度6強の福島県沖地震で製品の生産が停止した。2009年からBCMに取り組んできた同工場にとって、東日本大震災以来の被害。復旧までの期間を左右したのは、たった1つの部品だ。BCPによる備えで製品の供給は滞りなく続けられたが、新たな課題も明らかになった。
2024/12/20
企業には社会的不正を発生させる素地がある
2024年も残すところわずか10日。産業界に最大の衝撃を与えたのはトヨタの認証不正だろう。グループ会社のダイハツや日野自動車での不正発覚に続き、後を追うかたちとなった。明治大学商学部専任講師の會澤綾子氏によれば企業不正には3つの特徴があり、その一つである社会的不正が注目されているという。會澤氏に、なぜ企業不正は止まないのかを聞いた。
2024/12/20
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方