「“いかに防ぐか”から”いかに備えるか”へ
事業継続として取り組むサイバーセキュリティの新常識」
事業継続として取り組むサイバーセキュリティの新常識」
株式会社富士通総研
コンサルティング本部ビジネスレジリエンスグループ
グループ長 藤本 健
コンサルティング本部ビジネスレジリエンスグループ
グループ長 藤本 健
サイバー攻撃の多様化により、全ての脅威を予め防ぐことが困難な時代に突入しました。
このようななか、注目が高まっているのが「セキュリティ・レジリエンス」という考え方です。
サイバー攻撃を受けても事業を継続していくためには、企業はどう取り組むべきでしょうか。
サイバーリスクの発現を前提に、侵入後の速やかな回復を意味する「レジリエンス」という新しい考えの実践ポイントを解説します。
〇”危機の常態化”で生き残るためのレジリエンス
平成最後の年となる2019年はG20サミットやラグビーワールドカップが予定され、来年には東京オリンピック・パラリンピック大会、2025年には大阪万博など、国家的イベントの開催が予定されています。
一方で、2018年は近年稀に見る自然災害の多かった年でもあり、2019年早々の1月3日には、熊本を震源とした最大震度6弱の地震が発生しました。
企業活動では、AIやIoTの活用が進むことで、新たなサイバー脅威も予測されています。
振り返ると、平成はグローバル化とICTの普及、さらにはデジタル化の波が押し寄せ、企業環境に大きな変化をもたらしました。
同時に企業を取り巻くリスク環境も大きく変わりました。
企業は多くの自然災害や大規模なICT障害、サイバー攻撃に見舞われ、社会インフラを担うシステムの停止やサプライチェーンの寸断など、経済活動が停止するような不測の事態が多く起こりました。
いわゆる、"危機の常態化"です。
この危機の常態化を受けてリスクマネジメントへの取り組み方も過去10年の間に"リスクをいかに予防するか"という考え方から、"リスクの発生前提のもとでいかに備えるか"という考え方に大きくシフトしました。
ビジネスの分野で"resilience:レジリエンス"という言葉が多用されている現象もその一つです。
"レジリエンス"の意味を改めて調べてみると、「復元力、回復力、強靭さ」と訳されます。
自然災害であってもサイバー攻撃であっても、あらゆる脅威を事前に想定して予防することが難しいからこそ、レジリエンス向上が必要である事は、すでに多くの経営者の方の共通認識となっています。
では、どう備えればよいのか、レジリエンスを向上する取り組みを紹介します。
では、どう備えればよいのか、レジリエンスを向上する取り組みを紹介します。
〇「機能保証」としてのセキュリティ・レジリエンス
ー略ー
〇経営者も参画するセキュリティ・レジリエンスのプロセス構築
最後に、セキュリティ・レジリエンス強化の組織内における取り組みについて俯瞰します。
上の図は、上部が組織内のプロセス、下部が経営者の関わり方を記載しています。
<
下記URL
参照
>
セキュリティ・レジリエンス強化のプロセスでは、際限のない対応にならないように、リスクの絞り込み、優先順位付けとしてのリスクアセスメントが重要になります。
リスクアセスメントの結果を踏まえて、重要なサービスとそれらを構成する設備や施設、情報やICT、さらにはサプライチェーンなどの経営資源を特定した上で、それらの経営資源に係るリスクの予防と、有事の備えを行います。
ここまでがセキュリティ・レジリエンス強化の取り組みです。
経営者としては、それらの取り組みが本当に有効に機能しているかを組織的にモニタリングするプロセスを確立するとともに、モニタリングの結果を踏まえて、自組織の脆弱性(ここでの脆弱性は、ソフトウェアの脆弱性にとどまらず、組織、プロセス、ルールまで含んだ脆弱性を指します)の理解を深めた上で、適応力向上に必要な投資、人員補強を行い、それら取り組みへの説明責任を果たすことが今後は求められるでしょう。
これが経営者も参画するセキュリティ・レジリエンスのプロセスであり、このプロセスをPDCAとして回しながらスパイラルアップさせていく、中期的な取り組みが今の組織に求められるものです。
株式会社富士通総研
コンサルティング本部ビジネスレジリエンスグループ
グループ長 藤本 健
コンサルティング本部ビジネスレジリエンスグループ
グループ長 藤本 健
※コメント投稿者のブログIDはブログ作成者のみに通知されます