第77回：情報セキュリティのパフォーマンスがどのようにビジネスに寄与するか

Forrester Consulting社（注1）はサイバーセキュリティに関する格付けを提供しているBitSight社からの委託を受けて行われた調査結果として、2019年9月に「Better Security And Business Outcomes With Security Performance Management」という調査報告書を発表した（本稿で「セキュリティ」とは情報セキュリティを指す）。

米国災害システムの神話

ニューオリンズ市緊急事態準備部副部長のカール・メテイリーは40時間以上寝ていなかった。市の首席行政官のオフィスの9階にある薄暗い緊急事態対策本部（EOC）の混沌の中を歩くとき、自分の将来にうたた寝などというものがあるとはとても思えない。典型的な日には大きな会議室くらいのこのスペースで30名は快適に仕事をすることができたであろう。今は、立ち止まっているグループ、机に座っている人、静かにしている人、そうではない人、会話をしている人、電話をしている人、壁に掛けられた一列のテレビモニターをぼんやり見ている人で、少なくとも100名の人がいる。

経営の屋台骨を揺るがす大規模損害に備えよ

第3回では、M&Aに関連したサイバーセキュリティーについて考察しましたが、今回（最終回）は、より多くの日系企業が共通して抱える「海外子会社のサイバーリスク」について、事故例の紹介とリスク転嫁策としてのサイバー保険の重要性について解説します。

人・組織で行うサイバーセキュリティ対策

今回からは組織に関するサイバーセキュリティ対策について触れていきます。アプリケーション、プラットフォーム、クライアント端末およびネットワークなどのシステムだけで防御対策するには、やはり限界があり、サイバー攻撃のリスクをゼロにはできません。したがって、企業はマルウェア感染してしまった、DDoS攻撃でサーバーが落ちてしまったなどのサイバー攻撃によるインシデント発生後のアクションを事前に検討する必要があります。この対策のキーポイントは“人、組織”による初動対応です。

次なる本当に大きな地震が起きた後、われわれは何を語っているだろうか？

ピュリツァー賞を獲得した記事「真の大災害」の中で、ニューヨーカー誌の記者であるキャサリン・シュルツ氏は北米大陸史上最悪の自然災害について述べている。科学者によると、1700年1月26日、太平洋岸北西部での大地震がカナダのバンクーバー島から南へ約900キロ、カリフォルニアの北部にかけての地殻を切り裂き、破滅的な被害をもたらした。地質学上の記録によれば、マグニチュード8以上のこのような“大地震”は、太平洋岸の北西部では500年に一度の割合で発生している。“真の大災害”でシュルツ氏はこの事実が何を示唆するかを述べている。次なる真の大災害は14万平方マイルの地域に被害を及ぼし、ワシントン州のシアトル、タコマ、オレゴン州のポートランド、ユージン、セーレムといった人口の集積地に壊滅的な打撃を与える。700万人がパラレルな宇宙に投げ込まれる。そのうち1万3000人が死亡し、2万7000人が負傷する。100万人分の避難所、250万人分の水と食料が必要となるであろう。

第76回：取締役の関与こそサイバーセキュリティ対策の要である

英国に本拠地を置くコンサルティングファームGrant Thornton UK LLP（注1）は、2019年7月にサイバーセキュリティに関する調査報告書『Cyber security: the board report』を公開した。この報告書の副題は「いかに取締役がビジネスにおけるサイバーアタックによる影響を減らせるか」（注2）となっており、主に取締役等を対象とした問題提起となっている。

巨額損害を被った実例から学ぶ教訓

第2回では、M&A前に買収対象企業に発生していたサイバー攻撃による個人情報の盗取が買収後に発覚し、大きな損害につながった米ホテル大手マリオット・インターナショナルの事例を解説しました。その中で、買収前のリスクや価値の調査活動であるデュー・ディリジェンス（以下、DD）の一環として、サイバーセキュリティーおよび情報保護に関するDDを行うことが、損害の防止と軽減につながるとご紹介しました。実際にそのような商慣行が主に欧米では浸透してきていますが、日系企業が海外の買収対象企業に対してそこまでの広範囲かつ詳細なDDを実施するケースは多くありません。同様に、欧米企業によるM&Aでは広く一般的に行われている「リスクマネジメントと保険プログラム」に関するDDについても、日系企業は実施していないケースが未だに多いようです。今回は、M&Aに関連したサイバーセキュリティー事故をいくつか追加でご紹介した上で、M&Aに伴うサイバーセキュリティーリスクの管理において、何が重要かを解説していきます。

LANシステム診断サービスについて

今回はLANシステム診断サービスの詳しい内容について触れていきます。前回はシャドーITやモバイル端末に対する内部感染のリスクに関して触れました。

十分大きくも早くもなれない

クライシスは慎重で几帳面である。知力と体力を蓄えて、ユニークな混沌とした混合物を構築して時を待つ。そしてまさにそのとき、恐るべき武器であり、われわれがサージ（大波）と呼ぶ衝撃の雪崩を解き放つ。あらゆることーわれわれが起きてほしいと望むこと以外のあらゆることーが一度に発生する。

企業内感染の脅威、自分の端末が踏み台に

前回はインターネットからの攻撃とその診断に関して触れました。今回は社員端末など内部からの感染について取り上げていきます。皆さんは日ごろ、どのような業務端末を利用していますか？　営業など外出の多い方ならば、下記のような端末を所持しているのではないでしょうか。

第11回：BCPの文書の成り立ちについて

「計画書」と名前のつく社内文書は多々あるが、BCP（事業継続計画）というドキュメントは、他の社内文書に比べて今ひとつ形が捉えにくいと感じている人も少なくない。例えば○○製品開発計画とか○○プロジェクト計画書といったものは、アイデンティティがはっきりしている。しかしBCPは、一見すると規定文や指示書のようでもあるし、防災マニュアルや業務手順書のようでもある。

第75回：BCMの関係者が考える組織のレジリエンス

BCMの専門家や実務者による非営利団体であるBCI（注1）は、組織のレジリエンスに関するアンケート調査の結果を『Organizational resilience: Perspectives from the industry』という報告書として2019年7月に発表した。アンケート回答者の多くがBCI会員（つまりBCM関係者）だと思われることから、この調査結果はあくまでもBCM関係者が組織のレジリエンスをどのようにとらえているかを表すものと考えるべきであろう。

パラレルな宇宙を旅してみよう

我々の秩序のある合理的なときもある世界と異なり、パラレルな世界では混沌と混乱が支配している。通常の論理のルールは、因果関係といった基本的なものでさえ、適用されない。あまりにも奇妙な場所なので描写することもできない。行って自分で見るほうが良い。 現実の災害はメッシーなので、われわれはこれをシミュレーションによって行うのが一般的である。可能な限り精細なカラフルな災害現場あるいはシナリオを想像してみる。今それをしてみよう。まずは思考の実験である。一瞬自分のことを考えてみる。来月、今日から4週間のカレンダーはどうなっているだろうか？

パラレルな宇宙～大災害の本質

激しい振動があなたを快眠から揺さぶり起こす。あなたは目を開ける。真っ暗闇で全く音はしないがまだ寝室にいる。突然マットレスが持ち上げられて波のように揺れ動く。あなたを揺すぶって起こした狂人が戻ってくる。あなたのベッドの下でこれぞとばかり激しく蹴って突き上げる。雷鳴とポップコーンのはじける音と、花火の音の全てが同時に来たような騒音で耳がふさがれる。れんがのビルを擦り合わせているような擦過音もする。しばらくすると揺れは収まりベッドから落ちる。寝室は前後に、激しく揺さぶられておりランプや写真が棚から落下して壊れるのを聞く。

第10回：BCP策定会議の立ち上げと実施要件

今回よりBCPを策定するための具体的なステップと必要条件などについて考えていこう。まず唐突ではあるが、決して望ましいとは言えないBCPの作り方から指摘しておきたい。それは「最初から最後まで自己完結的に作る」というアプローチである。

第74回： IT途絶を招いた最大の原因は何か

データバックアップやITシステムの災害復旧などのサービスを提供している英国のDatabarraks社は、ITのレジリエンスやサイバーセキュリティなどに関する調査報告書として、2019年7月に「Data Health Check 2019」を公開した。

あなたのWebサイト、攻撃されていませんか

企業の顔になるホームページ、製品を販売するためのEC（Electronic Commerce）サイト、そしてみなさんが情報をチェックするSNSなどのビジネスは、今やWebサイトなしには成り立ちません。

世界は狂った

鉄のカーテンの両側で政治家と将軍たちは、もし、相手側がこちらを皆殺しにするなら、相手側も皆殺しにすると保証した。つまり、われわれは人間を抹殺することに同意することで、人間性を維持するのである。 ルイス・ラプハン　「化石の森」

第9回：BCP策定のステップを確認する

「BCPはいろいろな作り方があって、どれを参考にすればよいかよく分からない」。時々このような声を聞くことがある。一般に中小企業向けBCPの具体的な考え方や作り方を知ろうとしたら、まずは次のような情報源やノウハウを参考にすることになるだろう。

第73回：GDPR導入後の英国におけるサイバーセキュリティの実態

英国のデジタル・文化・メディア・スポーツ省（Department for Digital, Culture, Media and Sport）は2019年4月に「Cyber Security Breaches Survey 2019」という報告書を発表した。これは英国内の企業と慈善団体（businesses and charities）を対象として、サイバーセキュリティに関する実態調査を行った結果をまとめたものである。

有効な事前対策、脆弱性診断

今まで当連載では、ハッキングやマルウェア感染に遭ったとき、またその後の感染拡大を防ぐ対策を中心にご紹介してきました。今回は事前に行う対策についてお話しします。

すべての災害の母

未来を垣間見ることができれば、どうだろうか。 もし、全ての起こるかもしれない災害と、それがもたらす全ての悪いことを見ることができたら、どうだろうか。ハリケーンによる大洪水、地震で倒壊した建物、停電でスーパーマーケットの空っぽの陳列台や凍える住宅、バイオテロ攻撃の死者など、それらの全ての悪いことを足し合わせてみる。それは、どのように見えるだろうか。

第72回：DDoS攻撃の発生状況とその実態

これまで本連載でたびたび紹介してきた、BCI（注1）による Horizon Scan Report（注2）によると、世界のBCM関係者が今後12カ月間に最も懸念される脅威は4年連続で「サイバー攻撃とデータ漏えい」（Cyber attack & data breach）となっている。また同じくBCIから発表された「Supply Chain Resilience Report」（注3）によると、世界のBCM関係者が過去12カ月間に経験したサプライチェーン途絶の原因の中で「サイバー攻撃とデータ漏えい」は 2013年から急増しており、2015年以降は2～3位の間で推移している。したがってサイバー攻撃はBCM関係者にとって最も警戒すべき脅威の一つと言える。

Shit happens　－最悪の事態も起きるー

9.11の後、インテリジェンス・コミュニティ（政府が設置している情報機関によって組織されている機関）では攻撃が差し迫っているということが多くの人の目に明らかだった。ハリケーン・カトリーナの後、ニューオーリンズのインフラの強化が大幅に遅れていることもよく知られていた。 ナシーム・ニコラス・タレブ（ブラックスワンの著者）によれば、ブラックスワンはきっかけとなるインシデント（出来事）、あるいは一連のインシデントの産物なのだと説明するのは、偶然にだまされているのである。事後でさえ大災害の原因を理解できると考えるのはばかげている。結局のところ科学者たちは、相当の努力をしたにも関わらず、地震やテロ攻撃のタイミングを正確に予想することはできなかった。大災害の原因を突き止めるというのは大体において後付けの試みである。

SDNを使った制御システムのセキュリティ対策

今回は制御システムに対するSDN（Software-Defined Networking）を使ったサイバーセキュリティ対策について触れていきます。近年制御システムに携わる方々からSDNを利用したホワイトリスト対策について聞かれる機会が非常に増えました。その内容のご紹介です。