情報セキュリティは重要な経営課題の1つ

多くの日本企業の経営者にとって、情報セキュリティ対策はあくまでもIT施策の一環であり、「IT部門に任せておけばよい」と長らく考えられてきました。しかしここ数年の間で、こうした認識に変化が表れつつあります。社会を揺るがすほど大規模な情報漏洩インシデントが続発し、社会問題化したことから、ようやく日本企業の経営者の間でも「情報セキュリティは重要な経営課題の1つである」という認識が広がりつつあるようです。

もちろん、情報セキュリティに無頓着な経営者も多いことでしょう。特に、中堅・中小企業においてはそうした傾向がまだ強いようです。しかし、某機構や大手通信教育会社、大手旅行会社といった大組織による個人情報漏洩事故がメディアで大きく取り上げられ、経営者が自ら記者会見で謝罪する映像を頻繁に目にするようになった今日、情報セキュリティに対する認識を新たにする経営者も多いことでしょう。

実際のところ、某機構はインシデント対策費用に10億円を費やさざるを得なかったという話もありますし、大手旅行会社もインシデント発生直後は売上が5～7％ほど落ち込んだと聞きます。ちなみに海外ではさらに大きな被害が発生しており、米Yahooやソニー・ピクチャーズといった大企業では、情報漏洩インシデントの責任をとってCEOが辞任する事態まで発展しています。

こうした事態を受け、海外では「CISO（Chief Information Security Officer）」と呼ばれる、情報セキュリティ対策に責任を持つ経営幹部のポストを設ける企業が増えています。日本ではまだあまり聞きなじみのない役職ですが、情報セキュリティ対策に力を入れる日本企業の中には、早くもCISOのポストを設置する企業も出てきています。

サイバーセキュリティ経営ガイドラインが示す「事後対策の重要性」

ちなみに、企業経営者が情報セキュリティ対策への認識をあらためる上で、少なからぬ影響を与えたのが、経済産業省が2015年に初版を公開した「サイバーセキュリティ経営ガイドライン」でした。それまで、官公庁から出される情報セキュリティ関連情報は、どちらかというと情報セキュリティの専門家向けのものがほとんどだったのですが、同ガイドラインは初めて企業経営者をターゲットに作成され、しかもそれが経済産業省から出されたということで、大きな話題になりました。

内容的には、企業経営者がセキュリティ対策を考える上でおさえるべき原則や、具体的な取り組みの内容や枠組みを明確に示していて、「情報セキュリティ対策は経営課題である」との見解を経済産業省が公式に示したという意味も含め、多くの企業経営者にインパクトを与えました。事実、これ以降トップダウンで情報セキュリティ対策の強化を進めた企業も少なくなかったようです。

そして2017年11月には、このガイドラインが改訂され「サイバーセキュリティ経営ガイドライン バージョン2.0」として新たに公開されました。旧バージョンの内容と比べ、さまざまな点でアップデートされていますが、最大の変更点は「事後対策の重要性と必要性」についての記述が追加されたことです。

少し前までの情報セキュリティ対策は、サイバー攻撃の侵入を防ぐための事前対策に重きが置かれていましたが、今日のように攻撃の手口が高度化・巧妙化する一方の状況下では、侵入を100％防ぐのはもはや不可能だといわれています。従って侵入をやむなく許してしまうことを前提として、侵入をいち早く検知し、適切な対応をとることでダメージを最小化する事後対策の重要性が叫ばれています。

改訂された新ガイドラインでも、まさにこの点に関する内容が大幅に補強され、インシデント発生時の事後対策と、会社としての説明責任を果たすための仕組みを構築することの重要性が示されています。

「Cybereason EDR」が迅速な事後対策を強力にバックアップ

このように、「経営責任としての情報セキュリティ対策」を全うするには、セキュリティリスクの検知と対策の取り組みが欠かせません。そこで現在、企業から注目を集めているのが次世代エンドポイント・セキュリティ「EDR（Endpoint Detection and Response）」です。EDRは、エンドポイント（PCやサーバなど）上で不審な動きをしないか常時監視し、もし不審な動きを検知した場合は即座に管理者に通知してくれるというものです。

中でも、弊社が提供するEDR製品「Cybereason EDR」は、優れた脅威検知率と、容易に導入・運用できる手軽さを両立した製品として、海外はもとより日本国内においても急速にユーザーの数を増やし続けています。一般的なマルウェアはもちろんのこと、2017年5月に世界中で猛威を振るった「WannaCry」に代表されるランサムウェアに関しても、有効に防御・検知できる独自の仕組みを備えています。

もし内部に潜入した不正ソフトウェアが何らかの動きを起こせば、すぐに検知できますから、サイバーセキュリティ経営ガイドラインが求める事後対策を実施する上では、最適なソリューションの1つだと言えるでしょう。またCybereason EDRは、単にマルウェアを検知するだけでなく、そのマルウェアの攻撃がどの段階まで進んでいるのか、あるいは具体的にどのような影響を及ぼすのかを一目で把握できる仕組みを備えています。

この機能を活用すれば、万が一マルウェアの侵入を許したとしても迅速な対応が取れますし、マルウェアが使う必要がなくなった正規プロセスや正規ユーザに成りすました攻撃にも対応できます。攻撃の進行度合いに応じて、対応の優先度付けも適切に行えるようになります。そして経営の観点から見れば、こうした侵入がシステム全体やビジネスに与える影響を可視化できることで、万が一インシデントを引き起こした際にも即座に対応を取り、説明責任をきちんと果たせるようになるでしょう。

「経営責任としてのセキュリティ対策」を強く意識するのであれば、ぜひこうした製品の導入を検討することをお勧めします。

「次世代エンドポイント（EDR）のメリット」とは？ Cybereasonの関連情報を公開中

CybereasonのEDR(Endpoint Detection and Response)プラットフォームが提供する7つのユニークな機能をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/white-paper/1033/