強化すべきサイバーセキュリティの内部統制と対応組織(イメージ:写真AC)

サイバーセキュリティにBCP?

違和感が二つあります。一つは、近年、ランサムウェアによるサイバー攻撃を受けた上場企業がいう「サイバーセキュリティのBCPを構築していました」という説明。サイバーセキュリティにBCP? 言葉の使い方に、いささかの違和感を覚えます。

通常、BCPの定義は専門家の間でも意見が分かれることがあります。地震などの自然災害、パンデミック感染症、テロ、戦争などの外的要因に対し、危機管理統制部門が有事の司令塔になるべくマネジメントシステムを構築する枠組みがBCPだとすると、なるほど確かに、サイバー攻撃は外的要因で、しかも地震のように突然やってくる、企業や組織にとってはまさしく「災害」です。

ただ、サイバーセキュリティの統制において、NIST (アメリカ国立標準技術研究所)の CSF(サイバーセキュリティフレームワーク)ではなく、BCP?という違和感です。

遅々として進まなかった情報セキュリティ対応。半面、攻撃の手段は進化(イメージ:写真AC)

昔は、情報セキュリティは70 点くらいの対応でほぼ守れるはずと考えられていて、それでもほとんどの上場企業は予算を投じることを渋り、システムは陳腐化し、担当者のスキルも低下し、担当役員もいない、50 点くらいの対応でした。インシデントが発生するのは運だと言わんばかりに時を過ごし、機密情報を盗まれるぐらいは目をつむって、というより盗まれていることも分からないという企業がほとんどでした。

そうした状態を何年も過ごした後、犯罪者はランサムウェアという金になる木を手に入れ、ランサムウェアSaaSとしてビジネスに昇華させ、さらにAIも活用し、サーバ管理者にターゲットを絞った標的型に進化させ、担当者の買収なども含めて、手口は年々巧妙になってきています。