2024/11/17
事例から学ぶ
セキュリティーとBCPを磨け 立ち向かうサイバー攻撃(2)

大手生命保険会社の明治安田生命保険(東京都千代田区、永島英器社長)は、全社的サイバー訓練を強化・定期実施している。ランサムウェア攻撃で引き起こされるシチュエーションごとに課題を洗い出し、継続的な改善を行ってセキュリティー対策と初動対応、BCPをブラッシュアップ。主力商品が電子データ化されている業種特性をふまえ、システムとネットワークが止まっても重要業務を継続できる態勢と仕組みのレベルアップを目指す。
明治安田生命保険
東京都
❶サイバー訓練を強化・定期実施
・ランサムウェア攻撃の頻発を受け、BCM活動のなかでサイバー訓練を強化、定期的に実施。課題の抽出と改善を継続的に行い、インシデント対応と事業継続の態勢をブラッシュアップ。
❷経営層を対象とした模擬会議訓練
・経営層による特別対策本部訓練で提示された意見や気づきをセキュリティー対策とBCPの見直しに反映。社員への連絡手段など、手を打てるところから確実に課題をつぶしていく。
❸サイバー事案に対応するBCP
・業務のシステム化が進むなか、サイバーリスクが災害並みに増大。特に商品が電子データ化している保険業は影響が大きいとし、システムやネットワークが停止した際のBCPを常に検証。
明治安田生命保険は2022年度から、経営層向けのサイバー訓練を開始した。ターゲットとする事象は明確にランサムウェア攻撃。不審検知から初動対応、調査・分析、事業継続まで、一連の対応を確かめる。ネットワーク遮断、情報漏えい、身代金要求など、影響の強度と範囲は単純なシステムトラブルの比ではない。
「サイバー攻撃については、以前から事務局訓練やスポット訓練は行っていた。しかし、経営を巻き込んだ訓練ができていませんでした。特にいま各所で被害が報じられているランサムウェアの場合は、単なるシステムトラブル対応では済まない。経営側も危機感を強めていました」
リスク管理統括部サイバー・システムリスク統括担当部長の古田幸博氏はそう話す。
時間軸と対象範囲を決め継続的に訓練
社内で不審動作を検知するとインシデント対応チーム、いわゆるCSIRT(シーサート)が動き出す。メンバー20人強のチームがリスク管理統括部のもと、臨時の事務局となってパソコン隔離やネットワーク遮断などの緊急措置を実施。同時に全社的な危機対応組織を招集し、事前の役割分担に従って調査・分析や状況把握、内外の連絡などを進めていく。
危機対応組織は、初動段階ではサイバー・システムリスク統括担当部長をトップとする緊急対応チームが動く。その後、ウイルス感染が確認されるなどでエスカレーションの段階が上がり、社長に報告が及んで危機判断がなされると特別対策本部が発足。トップの直接指揮のもと、各種報告をふまえて各事象への対応方針を決めていくという流れだ。
サイバー訓練はこうしたフローにそって、時間軸と対象範囲を区切って行う。例えば、今回は不審動作の検知から20分後まで、次回は初動・調査を行う2時間後まで、その次は緊急対応チームが発動する3時間後まで、といった具合。当然、シナリオはそれぞれのシチュエーションに応じて用意し、参加者もそのつど交替する。
「どの時間のどの動きを訓練するのかをしっかり周知。そこを明確にしないと話があちこち飛んでしまうからです。なので、訓練は前後の関連性を持たせて継続的に行う。各段階の課題をそのつど洗い出し、可能なものは対策を打つなどして、態勢と仕組みを常にブラッシュアップしていきます」
同じくリスク管理統括部サイバー・システムリスク統括担当筆頭リスクアナリストの坂本純一氏は説明する。
●2023 年度上期 ランサムウェア攻撃時の特別対策本部(経営層)訓練

最低ランクのシナリオでも影響は大
昨年2023年度上期に、経営層を対象とする特別対策本部訓練を実施した。東京・丸の内の本社ビルがランサムウェア攻撃を受けたと想定し、同ビルのパソコン100台隔離、一部サーバー(システム)停止、ネットワーク遮断、加えて同ビル以外も含めた全社的なインターネット接続停止といった条件のもと、模擬的に会議を運営するものだ。
時間軸は不審の検知から5時間後、第1回目の経営層招集時。シーサートによる初動・調査や緊急対応チームの発動など、それ以前のフェーズは別途訓練を行っている。そこで発覚した事案、例えば24時間以内に1億円の身代金要求といった事案もシナリオに組み込んだ。なお、この時点で個人情報の漏えいは確認されていないこととした。
「ランサムウェア攻撃時、これだけは起きる、これだけはやるという最低限のシナリオ。もっとシビアな条件も設定できますが、そこはランク付けして別途訓練する。まずは最低ランクで何が問題になるかをつかみ、できていないことを反省、改善して、次のランクの訓練にトライする」と古田氏は話す。
坂本氏も「最低限のシステム停止、ネットワーク停止でも影響は予想以上に大きい」と指摘。「PC端末を隔離することはわかっていても、ネットワークを止めることは知らない社員が多い。まずはそこを、経営陣も含めて認識してもらい、本当に業務が可能なのかを確かめてもらいたい」とする。
- keyword
- サイバーセキュリティ
- ランサムウェア攻撃
- セキュリティ訓練
- セキュリティ教育
- オールハザードBCP
事例から学ぶの他の記事
おすすめ記事
-
-
-
-
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2025/03/25
-
-
全社員が「リスクオーナー」リーダーに実践教育
エイブルホールディングス(東京都港区、平田竜史代表取締役社長)は、組織的なリスクマネジメント文化を育むために、土台となる組織風土の構築を進める。全役職員をリスクオーナーに位置づけてリスクマネジメントの自覚を高め、多彩な研修で役職に合致したレベルアップを目指す。
2025/03/18
-
ソリューションを提示しても経営には響かない
企業を取り巻くデジタルリスクはますます多様化。サイバー攻撃や内部からの情報漏えいのような従来型リスクが進展の様相を見せる一方で、生成 AI のような最新テクノロジーの登場や、国際政治の再編による世界的なパワーバランスの変動への対応が求められている。2025 年のデジタルリスク管理における重要ポイントはどこか。ガートナージャパンでセキュリティーとプライバシー領域の調査、分析を担当する礒田優一氏に聞いた。
2025/03/17
-
-
-
なぜ下請法の勧告が急増しているのか?公取委が注視する金型の無料保管と下請代金の減額
2024年度は下請法の勧告件数が17件と、直近10年で最多を昨年に続き更新している。急増しているのが金型の保管に関する勧告だ。大手ポンプメーカーの荏原製作所、自動車メーカーのトヨタや日産の子会社などへの勧告が相次いだ。また、家電量販店のビックカメラは支払代金の不当な減額で、出版ではKADOKAWAが買いたたきで勧告を受けた。なぜ、下請法による勧告が増えているのか。独占禁止法と下請法に詳しい日比谷総合法律事務所の多田敏明弁護士に聞いた。
2025/03/14
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方