サイバー犯罪によるインシデントは、決して対岸の火事ではありません。金銭目的のサイバー犯罪が増加傾向にあり、手口が巧妙化している現状にあって、各企業が備えることは、差し迫った極めて重要な課題になっているのです。
ここでは、こういったサーバー犯罪などに対する、強い組織づくりのベースとなる考え方を解説いたします。
セキュリティインシデントにおいて、プロとしての本格的な調査はもちろん、復旧支援や再発防止策についてのアドバイスまでを、ワンストップでサポート。これまで1,000件以上のフォレンジック調査実績を持つプロ集団です。(2022年1月調査時点)
第三者委員会対応ほか、米国訴訟対応など、グローバルに対応しているのも特徴。CFE(公認不正検査士)やCISA(公認システム監査人)、情報セキュリティスペシャリスト、情報システム監査専門内部監査士といった国際資格や専門家資格を保有するスタッフが、専門性の高いサービスを提供しています。
以前、サイバー犯罪の多くは技術力の誇示や愉快犯といった、個人的な目的のものが多くを占めていました。しかし、現在では金銭目的のサイバー犯罪が主流となり、攻撃の手口もより巧妙化、組織化されたものへと進化しています。
攻撃者側は、まずターゲットとなる組織を十分に下調べした上で弱点となる箇所を洗い出し、その場所を確実に衝いてきます。
巧妙化・組織化された今日の攻撃を防ぐためには、定期的なセキュリティ訓練を行う事で組織のメンバー全員のセキュリティに対する意識を高めること、組織の全体的なITリテラシーを向上させる事で攻撃者のつけ入る隙を小さくすることがますます重要になってきています。
運用フェイズでは、セキュリティマネジメントシステムの実施自体が目的になってしまい、業務に影響を及ぼす過度の制限や、セキュリティ上あまり効果の無い対策が増えてしまう事が多く見られます。
こうなると、従業員もやらされ感が強くなり、本来守るべき手順が守られない等、システム自体が十分に機能しないものとなってしまいます。セキュリティマネジメントシステム当初の目的を十分に意識し、それに沿うよう常時修正しながら運用を行う事が重要です。
組織の状況や体制・規模の変化に合わせて、セキュリティマネジメントシステムの見直しも必要になります。現在のシステムでカバーできない新たなセキュリティリスクが出てきていないか、必要以上に制約が強すぎる箇所がないかなど…。
セキュリティ対策に重要なスピード感を意識して、状況の変化に即時対応ができるよう、運用の中に評価のフェイズも組み込んでいくことができるような仕組みを構築する必要があります。
また、評価によって既存のセキュリティマネジメントシステムを大きく見直したり、新しい仕組みを導入する事自体が目的になってしまうというケースも多く見られます。
自組織にとってより良いセキュリティマネジメントシステムとなるよう、組織や周辺状況の変化をしっかりとカバーできているか、逆に過度な仕組みを導入しようとしていないかなど、運用・評価のフェイズで浮かび上がった課題点を過不足なく取り入れる事を意識する必要があります。
新たなセキュリティ対策の導入は時に、「業務上の制約を増やすもの」として反発に合う事があります。
組織自体を、そしてそこで働くメンバーを守る物である事を全員が納得できるよう、目的をしっかり共有した上で導入する事が大切になってきます。そしてそれこそが、セキュリティリテラシーが高い「強い組織」を作るための活動の一環でもあるのです。
アスエイト・アドバイザリーでは、監査の国際資格やセキュリティスペシャリストの資格を持つ専門家集団が、組織の形態、業務内容、リソースに応じて、情報資産、リスクを洗い出し、適したセキュリティマネジメントシステムの立案・構築をサポートしています。
現状のセキュリティ対策チェック、改善、修正といったPDCAサイクルの実行ほか、ISMSやPマークなどのセキュリティ認証取得・運用・更新コンサルティングも可能。取得期間やリソース、費用に応じたプランを設計できるので、組織課題の解決にぜひ役立ててください。