サイバーセキュリティと最も一般的な5つの誤解 

サイバーセキュリティに対する経営者の持つべき視点とは

 

序文

悪質な個人ハッカーやプロのサイバー犯罪者によってもたらされるサイバー攻撃にさらされるリスクが顕在化する中、あらゆる組織にとってサイバーセキュリティは重要な懸念材料となっています。そのため、経営者は、組織全体がサイバー攻撃がもたらす脅威を理解し、その対抗策において正しく優先順位を設定するという課題に直面しています。しかし、サイバーセキュリティに関する専門用語やそれらを取り巻く環境の変化のスピードを考えると、この課題解決は容易なことではありません。つまり、サイバーセキュリティに精通した専門家でなければ、どこから着手するべきかを見極め、そして、課題解決に重要な根幹に焦点をあてることは難しいのです。

 

一方で、メディアは「あらゆる組織がサイバー攻撃のターゲットになる」と、その危機感を増長させています。こういった報道では、eBayなどに見られるその場限りの犯行に及ぶ詐欺師と戦略的手段を持って知的財産を狙う組織犯罪集団とを区別せずに報道されていることが多くあるため、報道のみによって、自身が振り回されることは避けるべきです。

 

しかし、このような報道を通じてでも、攻撃者の特徴や傾向を知ることは、組織がターゲットになりうる可能性を評価する上では有意義なことです。

 

上記に概略したとおり、多くの組織において、サイバーセキュリティは経営者が直面する重要で、なおかつ複雑な課題です。とはいえ、課題解決が容易ではないからといってその解決責任のすべてを「専門家」に任せることはできません。経営者は、(1) サイバーセキュリティに要する資源の配分、(2) セキュリティ体制のガバナンスと意思決定、(3) 各々がその責任を自覚する組織文化の構築、という分野でリーダーシップを取ることが求められるのです。

 

そして、会社経営者は課題解決に向けて正しい道筋を見つけるために、自問自答をくりかえしながらサイバーセキュリティの複雑さを乗り越えていかなければなりません。

 

しかし、どうすればよいのでしょうか?このような疑問を持つ方々に、この白書がサイバーセキュリティに関する正しい基礎知識を得るための一助となれば幸いです。

 

サイバー犯罪とは何か、そしてその黒幕は誰か?

 

サイバー犯罪とは、組織を標的とした違法デジタル活動の総称であり、これによって組織運営上の障害や損害を被ることになります。そして、この「サイバー犯罪」という言葉は様々な行為と攻撃方法をあわせて使用されます。

 

まず、「実行者」には、攻撃を実際に行う人、もしくは組織だけでなく、その攻撃を支援する人、もしくは組織まで含みます。このことを理解することは、効果的なサイバー犯罪対策のために必須です。

 

実行者は以下の4つに分類することができます。

  1. 個人のハッカー。通常、単独で行動し、自分の能力を誇示することが犯罪行為の動機です。
  2. 活動家。イデオロギーや政治的見解の認知度を高めることを主たる目的とし、しばしば一般人を扇動するすることで恐怖や混乱を生み出します。
  3. 犯罪組織。フィッシング詐欺や不正に入手した企業情報の売買などの多岐にわたる方法で金銭的利益を得ることのみを目的とします。
  4. 政府機関。地政学的、商業的な立場から自己を有利することを目的とします。 これら実行者による攻撃には、標的の種類、攻撃方法、被害の大きさなどに異なる点が多々あるという特徴があります。オランダのサイバーセキュリティ・センター(NCSC:国立サイバーセキュリティ・センター)の刊行物には、オランダでのサイバーセキュリティの展望についての詳細な分析、ならびに様々なサイバー攻撃者の詳しい説明が提供されています。

 

イントロダクション

 

サイバーセキュリティ:あなたがすでに知っていると思われること

我々が取り扱うデータ量は日々飛躍的に増大し、組織がオンラインネットワークを通じてデータを共有する比率も急増しています。インターネットという存在は、タブレット、スマートフォンのみならずATM、防犯設備、油田、環境制御システム、温度自動調節器に至るまで何十億もの機器をひとつに結び、今やSF(サイエンスフィクション)だけのものではなく、現実のものとなりました。

 

このように緊密に結び付けられたネットワーク社会は、相互依存度も増大しています。組織は自社のITシステムを様々なモバイル機器に次々と連動させていますが、当然のことながら、データ保護に対する直接的な制御能力も同時に失っています。さらに、事業継続性の面においても、社内、社外に関係なく、ITへの依存度もますます高まっています。もし、事業の中核プロセスが中断するようなことがあれば、社内統制のみならず、サービスの利用する顧客へもたいへんな被害を及ぼします。

 

犯罪者や犯罪組織は、既にこのような脆弱性に目をつけています。そのため、政府や企業のネットワークへの攻撃も増加し、その厳しさを増しています。サイバー犯罪の目的は、純粋に金銭的利益からスパイ行為やテロまで多岐にわたります。そのため組織は、あらゆるサイバー攻撃に対して適切な対抗手段を講じなければなりません。そこには、予防、検出、対応の3つの能力が必要です(枠内参照)。

 

予防、検出、対応の詳しい説明は以下のとおりです。

 

予防

予防は組織体制とその統治体制とから始まります。これは技術的な対策であり、組織内でサイバー犯罪に対処する責任の所在を明確にすることや主要スタッフに意識向上のためのトレーニングを行うことが含まれます。

 

検出

経営運営上、重要な事象や安全性を脅かしうる事態のモニタリングを通じて、組織は技術的な検出対策を強化することができます。モニタリングにあわせて、データが示す行動傾向を多面的に分析することで、データの傾向値の中から異常なパターンを検出し、攻撃がどこに焦点を当てているかを検知します。これは、システムに対する被害状況を把握するための優れた手法となります。

 

対応

対応とは、他者からの攻撃を確認次第、即座に予め策定してある計画を実行に移すことです。攻撃中、組織は影響を受けるすべてのシステム機能を直接停止させることができなくてはなりません。また、この対抗対策とリカバリープランを策定する場合には、サイバーセキュリティを一度限りの対策とするのではなく、継続的なプロセスとして取り扱うべきです。 
 

 

あなたがまだ知らないと思われること

近年、サイバーセキュリティは非常に注目されているので、これまで説明してきたことについては、すでにご存知かもしれません。

 

たしかに、サイバーセキュリティという言葉や考え方は広く浸透しつつあります。しかし、組織は、サイバー攻撃からの恐怖に駆られるままに行動してはいけません。メディアは、時としてサイバーセキュリティの一面性だけを捉え無責任な報道をします。たとえば、「すべての組織がサイバー犯罪の格好のターゲットである」と報じられるのももその一つです。このような短絡的な報道は無用な恐怖を引き起こすだけです。そもそも、「すべての組織」といっても、中小企業のリスクプロファイルは、世界に展開するような企業のものとはまったく異なるのです。さらに、一般的にメディアで報道されるような事件では中小企業が取り上げられることは皆無といっていいでしょう。したがって、現実に起きているサイバー犯罪やそのリスクはメディアが報じる姿よりももっと異なったものになります。さらに、サイバーリスクはコントロールすることができます。また、サイバー犯罪者も無敵の天才ではないので、政府や企業はサイバー犯罪と闘うこともできます。ただし、理解しておくべきことは、100%の完全無欠なセキュリティというのは幻想であり、100%のセキュリティを目標にし、それを追求することはフラストレーションにつながるだけでなく、セキュリティに関する誤解を生む結果となります。

 

我々はサイバーセキュリティを「通常のビジネス」として、火災や詐欺と同等に取り扱うべきリスクの一分野とするべきと考えています。これらは、高度なITシステムをもって取り組むという考えに基づくものではなく、リスク管理の観点から取り扱うテーマとするべきだということです。

 

このことから、多くの組織はサイバーセキュリティに関する捉え方を変える必要があると我々は感じています。起こりうるサイバー犯罪に対する不安に駆られるままに対抗措置を講じるのではなく、組織の優位性を見極めてそのリスクに対抗するべきです。そして、サイバー犯罪リスクと想定される事業へのインパクトとのバランスを考慮した上で、企業資源の投資を行わなければなりません。

 

 

予防

検出

対応

経営者と組織

サイバー犯罪の責任者の任命

危機に対する24時間体制

犯罪分析能力の利用

プロセス

サイバー犯罪対応テスト
(シミュレーション)定期的なスキャンと侵入テスト

危機対策のフォローアップ

サイバー犯罪対応計画

IT

十分なデスクトップ・セキュリティの確保

ネットワーク・セグメンテーションの確保

危機対策に関する処理記録

セキュリティ関連事件の中央モニタリング制度

攻撃下にあるITサービスの停止または中断

 

サイバーセキュリティに関する最も一般的な5つの誤解

ほとんどの人にとって、サイバーセキュリティはやや謎めいた存在だと思われます。これは、多くの組織が、サイバーセキュリティに対して適切なアプローチを見極めることに難しさ感じる理由の1つかもしれません。この謎めいた存在と思わせてしまう理由を、サイバーセキュリティに関する最も一般的な5つの誤解として特定しました。以下、それぞれの誤解について説明をしていきます。

 

[1]

 

誤解:「100%のセキュリティを達成しなければならない」

現実:「100%のセキュリティは、実現可能でもなく、目指すべきゴールでもない」

 

ほぼすべての航空会社は、飛行には潜在的なリスクが伴うことを認識しており、その上で飛行の安全性が最重要事項であると主張します。事業運営におけるサイバーセキュリティにおいても、そこにリスクが内在する点では、同じことが言えるでしょう。つまり、どの大企業も、有名企業も、企業の機密情報が私的目的に盗まれたり、もしくは、盗まれた上に公けに晒されるといった事態を経験をすることになるはずなのです。

 

そこで、サイバー犯罪対策において「100%のセキュリティ体制は実現可能なものでもなければ、目指すべきゴールでもない」という意識を持つことは、より効果的なサイバー犯罪対策構築へ向けた重要なステップで、その認識があってこそ有効な防御体制を選択することが可能となります。有効な防御体制とは、組織の脆弱性に対する脅威(すなわちサイバー犯罪)の理解(予防)、差し迫った、もしくは既に発生している異常事態を検知するメカニズムの設定(検出)、そして、損失を最小限に抑えるために異常事態へ即時に対処できる能力の確立(対応)に基づいています。

 

多くの企業で、先に挙げた3つの要素において、「予防」(侵入者を阻止する難攻不落の壁の構築)に最も重点を置きます。しかし、完全無欠なセキュリティは幻想にすぎず、サイバーセキュリティが「通常のビジネス」の一部であるべきだと理解できれば、精度の高いな「検出」と「対応」こそ重点を置くべきであることがすぐにわかるでしょう。企業情報の盗難から中核システムの破壊まで多岐にわたるサイバー犯罪に対し、たとえそのような脅威に晒されたとしても組織は損失を最小限に抑え、そして、脅威によって顕在化した脆弱性を解決することができる体制を目指すことが有効な体制構築に重要なのです。

 

[2]

 

誤解:「最高クラスのITシステムに投資していれば安全」

現実:「有効なサイバーセキュリティは、それほどITシステムに依存していない 」

 

サイバーセキュリティの世界は、いまや侵入者を即座に発見できるといったシステムソリューションを販売するITシステム関連業者に占有されています。これらの支援システムはセキュリティ体制を運営する上で必須なものであり、社内のシステム構成に組み込まれている必要があることは確かです。しかし、このようなシステムソリューションは、サイバーセキュリティ体制全体を堅固に支えるサイバーセキュリティ方針や戦略の基盤にはなりえません。つまり、ITシステムへの投資はサイバーセキュリティ戦略を推進するための結果であり、ドライバーではないと言えます。

 

有効なサイバーセキュリティ体制は堅固なサイバー犯罪対応能力の開発から始まります。多くの場合、サイバーセキュリティの重要性を認識しているべきIT部門の主導で行われますが、エンドユーザーに対する理解が極めて重要です。というのも、IT部門とエンドユーザーの間に存在する人的リンクにもっとも脆弱性が生まれやすいからです。これは不変の事実であり見逃すことのできない点です。したがって、各人がそれぞれの役割を理解し、コミュニケーションネットワークを健全に維持することができる力を持たなければなりません。最適なシステムの投資は、その力を持って始めて実施するべきであり、その投資価値が生まれるのです。ハッカーが従業員を操作してシステムにアクセスするソーシャル・エンジニアリングが、依然として組織に晒されている主なリスクの1つであることを見れば、人的要因によって生まれる脆弱性こそがサイバー犯罪のターゲットとなることが理解できるはずです。

 

このようなシステムの力は及ばない人的脆弱性こそ、経営者は積極的にこの問題に取り組まなければなりません。経営者は、そのリーダーシップを発揮する中で、いかにして適切な教育を従業員へ施すか、そして彼らと協働してどのようにサイバー攻撃に対抗するべきかを模索していかなければならないのです。

 

イントロダクションでも述べたように、これらのことを実践するためには、企業文化の変化を求められます。それは、従業員がサイバーリスクに意識を払い、そして積極的に上司とコミュニケーションをとるような文化です。

 

[3]

 

誤解:「我々の武器はハッカーの武器よりも優れたものでなければならない」

現実: 「セキュリティ方針は、攻撃者ではなく、あなたの基準で決定しなければならない」

 

サイバー犯罪との戦いは勝者なき戦いの一例といえるでしょう。攻撃者は常に新しい方法や技術を開発し続け、当然のことながら、防御側は常に一歩後れを取ります。しかし、これは真実でしょうか?攻撃者を追い続け、攻撃を防ぐためのより洗練されたシステムへと投資し続けることが本当に有益な方法なのでしょうか?

 

もちろん、最新の情報を入手し、攻撃者の意図や方法について洞察を得ておくことは重要です。また、柔軟で先を見越したアプローチを取ることも賢明なことです。しかし、同時に経営者は自分たちの情報資産の価値や中核事業(事業継続性を含む)の損失が意味すること(例えば、企業ブランドへの損害、減収、知的財産の公開)も理解しなければなりません。したがって、サイバーセキュリティ方針において、すべてのリスクをカバーしようとするより、これら企業運営上、重要な資産保護への投資を優先させるべきです。要するに、経営者は最新の技術を知っておくべきですが、それに気を取られて最重要資産を保護することをおろそかにしてはいけないのです。そこで、サイバーセキュリティに関するビジネスケース(投資対効果検討書)は、投資と資源の配分に基づいて作成されていなければなりません。この点に関する経営者への重要な質問には次のようなものがあります。当社は誰の標的となるか、そしてそれはなぜか?この点に関し我々が取ろうとしているリスクは何か(リスク嗜好)?どのシステムに主要資産(および事業継続性)が保管されているか理解しているか?

 

最後の質問に関して、組織と犯罪者は標的となりうる資産の価値に対してその評価が異なる場合があります。したがって、組織と犯罪者の両方の視点から資産価値を検討することが重要です1。その点において、事業とITシステムの発展はつながっており、組織が互いのセキュリティに共依存していることを認識していなくてはなりません。

 

[4]

 

誤解:「サイバーセキュリティのコンプライアンスこそが効果的なモニタリングである」

現実:「学習能力を有することこそがモニタリング能力有すること理解するべきである」

 

組織外部で起こるサイバーセキュリティに関する技術の発展と事件の傾向を理解し、それを方針や戦略に反映させることのできる組織だけが、長期的に成功します。そして、サイバーセキュリティが企業の法令順守体制によって大きく影響を受けるということは、これまでの事実として示すことができます。これは、多くの組織はさまざまな法規制に準拠しなければならないため、これはやむをえないことでしょう。しかしながら、法令順守のみを最終目標としたサイバーセキュリティ方針は、本質的なリスク管理の点において逆効果を招きます。

 

効果的なサイバーセキュリティ方針と戦略は継続的な学習と改善に基づくべきなのです。

 

これが意味することは以下のとおりです。

 

  • 組織は、サイバー攻撃の脅威がどのように進化し、どのように予想すればいいかを理解する必要があります。長期的に見れば、このアプローチは、より強固なセキュリティの「壁」を築くよりも、結果的に費用効果が常に高くなります。これは、サイバーセキュリティインフラのモニタリングの先を行くもので、脅威の現実や短期、中期、長期的なリスクの意味を理解するために、社内外の傾向を詳しく分析することとなります。この洞察により、組織は節約のための投資など、実用的なセキュリティ投資を選択することが可能となります。残念ながらこのような戦略的アプローチを取っている組織は少なく、利用可能な内部のデータの収集・利用を行っていないのが現状です。
  • 組織は、サイバー攻撃の実態の評価する上で、そこから新たな知識を学ぶことができるようにしなければなりません。しかし、リアルタイムで起こる攻撃に対し即時的な対応に追われるのみで、結果として、その攻撃に関する記録や評価がされないことも多いのです。これでは、組織が学習し、将来、より良いセキュリティを整備する能力を開発する機会も失ってしまいます。
  • 同じことがサイバー攻撃のモニタリングにも当てはまります。組織は優れたモニタリング能力を持っていますが、検知されたものが広く他の組織と共有されていないことが多くあります。結果として、検知した情報を学習に活かすことができないか、もしくは信頼性の低い参考情報にしか残りません。さらに、モニタリングの実施にはインテリジェンス要件(知的情報分析、もしくは、それを行うために必要なる情報・知能)の裏付けが必要です。モニターするべき対象を明確にし、その検知手法において科学的な裏づけがなされたときこそ、モニタリングは他者からの攻撃を検出する有効なツールとなるのです。
  • 組織はサイバーセキュリティ・リスクを査定・報告する方法を開発する必要があります。そのためには、取締役会などの意思決定機関を通じてリスク水準やリスク影響度、さらに戦略的なサイバー・リスクや中核事業へ想定される被害について正しい見識を持たせる方法などを決定する手続きが必要となります。

 

[5]

 

誤解:「サイバー犯罪から自社を守るために最高の専門家を雇用する必要がある」

現実:「サイバーセキュリティは部門ではなく、姿勢である」

 

サイバーセキュリティは特別な専門家のいる部門によって遂行されるものと思われがちです。この考え方は、サイバーセキュリティに関する誤った意識をもたらし、その他の部門との隔たりを組織の中にを生み出してしまいます。

 

真の課題は、サイバーセキュリティをメイン・アプローチにすることです。、例えば、サイバーセキュリティを人事方針の一部に組み入れたり、場合によっては報酬と関連付けるということです。また、ITシステムを開発する際は、プロジェクトの最後にだけ注目されるといったケースが良く見られますが、むしろ、サイバーセキュリティを中心に置いて要件定義や開発を進めなければなりません。

 

アプローチのカスタマイズ 

一定の地域で活動する企業が直面するサイバーセキュリティリスクは、グローバルに展開する企業が直面するリスクとは大きく異なります。グローバル企業の方が、犯罪者の目につきやすく、また、ITへの依存度が高く、想定される被害の規模もより大きくなります。とはいえ、組織の特徴、リスク嗜好、利用可能な知見に基づいてカスタマイズされたアプローチを取る必要があることは、事業規模に関わらず共通したアプローチです。しかし、現在のところ、この方法はあまり普及していないようです。資産を保護するための現実的で優れた、とりわけカスタマイズされたアプローチを取ったビジネスの一例として、宝石店が適切なセキュリティ水準を達成した方法と、現在のビジネス社会における一般的なサイバーセキュリティへのアプローチを比較しました。

 

盗難に対するセキュリティに関する

宝石店の視点

サイバーセキュリティに関する

一般的な視点

保護すべき資産が分かっていて、適切な対策を講じている。

保護が絶対必要な資産について、明確な考えなしに対策を講じている。

盗難がビジネスリスクだと認識しており、現実的に100%のセキュリティを求めたら商売はできないことも知っている。

サイバー犯罪を何か珍しいものと見ており、100%のセキュリティを達成しようと努力している。

誰かが価値のある商品を持ち去ることを防止する対策に焦点を置いている。

侵入者を防止する対策を重視し、侵入者情報を持ち去ることを防止する対策を忘れている。

セキュリティ業者に恐怖感をあおられることなく、購入の決定は自分で行う。

セキュリティ方針は、実際に何が必要かを知らずに、市場で入手できるツールに依存している。

対策が有効に働かなかった場合は、そこから学習する。

対策が有効に働かなかった場合は、パニックに陥る。

従業員に対し盗難リスクを減らす方法を訓練し、従業員がミスを犯した場合は話し合う。

サイバーセキュリティは主に特別な専門家が対応する問題と見ており、組織の他の人々に負担を課したくない。

商売の継続を助けてくれるツールに投資している。

ツールは義務付けられていて、メディアが日々報じる事件に流されながら、ツールに投資している。

 

経営者として、自社のサイバーセキュリティ能力をどう評価するか? 

経営者として、自分の会社がサイバーセキュリティに対して適切なアプローチを取っているかを正しく把握しておく必要があります。KPMGでは、組織のサイバーセキュリティ体制の成熟度に関する包括的で具体的な見解を示すための、6つの主要な視点によって検討します。

 

Fig 1 

 

リーダーシップとガバナンス 取締役会はリスクに関するデューデリジェンス、オーナーシップ、そして効果的なリスク管理を実施しているか?

 

人的要因 適切な人材、能力、文化、そして知識を備え、そして十分に発揮するためのセキュリティ文化の水準とその統合度は?

 

情報リスク管理 組織全体に加え、第三者業者(協業者、サプライヤー等)を対象とした包括的で効果的な情報リスク管理を達成するためのアプローチはどの程度堅固か?

 

事業継続性と危機管理 セキュリティ事象に対する備えや、優れた危機管理や利害関係者管理を通じて脅威の予防または最小限に抑える能力の準備ができているか?

 

運用と技術 特定されたリスクに対処し、セキュリティ侵害の影響を最小限に抑えるために導入されている管理対策の水準はどの程度成熟しているか?

 

法務とコンプライアンス 関連する監督当局の基準や国際的な認証基準を遵守しているか?

 

これら6つの主要な特徴すべてに対処することが総体的なサイバーセキュリティ・モデルにつながり、あらゆる組織に以下のようなメリットを与えることになります。

 

  • 外部のサイバー犯罪者による組織への攻撃リスクを最小限に抑え、攻撃を受けた場合の影響を限定的なものにする。
  • サイバー犯罪の傾向や事件等に関する有用な情報を入手することで、意思決定が容易になる。
  • サイバーセキュリティのテーマに関する明確なコミュニケーション。全員が自分の責任を理解し、事件が発生した場合や発生が疑われる場合に何をすべきかを知っている。
  • より良い評判への貢献。サイバーセキュリティについて十分に準備し、慎重に検討している組織は、利害関係者に安心感を提供することができる。
  • サイバーセキュリティに関する知識や能力の向上。
  • サイバーセキュリティの分野で同業他社に関して自社をベンチマーク化できる。

 

リーダーシップとガバナンス

人的要因

取締役会はリスクに関するデューデリジェンス、オーナーシップ、効果的なリスク管理を行っている。

適切な人、能力、文化、知識の力を備え、十分に発揮するためのセキュリティ文化の水準と統合。

情報リスク管理

事業継続性と危機管理

組織全体および協業者(納入・供給業者)を対象とした包括的で効果的な情報のリスク管理を達成するためのアプローチ。

セキュリティ事象に対する備えや、優れた危機管理や利害関係者管理を通じて影響を予防または最小限に抑える能力の準備。

運用と技術

法務とコンプライアンス

特定されたリスクに対処し、セキュリティ侵害の影響を最小限に抑えるために導入されている管理対策の水準。

関連する監督当局の基準や国際的な認証基準。

 

結論… 今こそ行動するとき

サイバーセキュリティは、あなたの課題です。経営陣、取締役会、株主、顧客の全員が、あなたがこの問題に十分な注意を払うことを期待しています。そのために、あなたの会社は以下の質問に答えられなければなりません。

 

1. 自社と取引先にとってリスクはどのくらい大きいか?

 

あなたの組織のリスクプロファイルを決定するときのスタートはここからです。あなたの会社が潜在的なサイバー犯罪者にとってどの程度魅力的か?あなたの会社が他社のサービスにどの程度依存しているか?そして最後に、100%のセキュリティというものはありえないのであれば、あなたの会社はどの程度リスクを取る意思があるか?

 

リスクプロファイルとリスク嗜好を判断する際に利用できる重要な質問は以下のとおりです。

 

  • サイバーセキュリティの観点からどのプロセスやシステムが重要な資源かを把握しているか?
  • これらのプロセスやシステムにおいて、どの程度のリスクを取ることができるか検討したか(リスク嗜好)?
  • 会社が取引先や供給業者からのサービスにどの程度統合・依存しているか、また対応するITプロセスはどの程度統合されているか?
  • 取引先は、当社と同じリスク嗜好やサイバーセキュリティ対策を持っているか?
  • サイバーセキュリティ投資に関して明確な投資対効果検討書を策定しているか?

 

2. システムを導入することだけでは答えになりません。答えは、ガバナンス、文化、行動の組み合わせの中にあるのです。そしてあなたには、経営者として果たすべき重要な役割があります。経営者が真剣に取り組まなければ、会社の行動や文化を変えることはできません。どうしたら、そうした変化を確実に起こすことができるでしょうか?

 

現在の状況を判断する際に利用できる重要な質問は以下のとおりです。

 

  • 自社の文化がどのように優れたサイバーセキュリティの開発に貢献(または妨害)しているか把握しているか?
  • 取締役会で、サイバーセキュリティ(の重要性)について最後に話し合ったのはいつか?
  • 危機や事件発生時に行動する準備ができているか?どのようにコミュニケーションを取り、誰がそれをやるべきかを知っているか?
  • 当社のサイバーセキュリティ方針について利害関係者に保証できるか?

 

3. 会社として、サイバーセキュリティ予算はどのくらいで、どのように使うべきか?

 

あなたの会社のリスクプロファイル次第ですが、サイバーセキュリティ予算は、IT予算合計の3~5%が妥当な範囲でしょう。現在、この予算のほとんどはシステムソリューションの導入や過去の問題の解決に費やされています。あなたが答えられなければならない重要な質問は、

 

  • 予算のうち、いくらが過去の問題を解決するために使われ、いくらがシステムのより優れたセキュリティ(設計によるセキュリティ)のための構造的投資に使われているか?

 

ただし、資金が確実に将来のシステム・ソリューションに適切に使用されるようにすることは、答えの一部に過ぎません。優れたガバナンス、適切なサイバーセキュリティ・プロセス、そしてもちろん適切な文化と行動なしには、これらの技術的ソリューションはその投資に見合う価値を発揮することはできません。答えられなければならないもう一つの質問は、

 

  • 自社のサイバーセキュリティ予算のうち、いくらがシステムやツールに使われ、いくらが自覚や文化を変えるために使われているか?

 

つまり、今こそ行動のときです!

 

 

1. 「サイバー犯罪に関するあいまいな見通し」、KPMG、2012年を参照

Contact

Contact

KPMG サイバーセキュリティ、リードパートナー(KPMG Cyber Security Lead Partner)
ジョン・ハーマンス (John Hermans)
電話:+31 (0) 20 656 8394
電子メール:hermans.john@kpmg.nl

Contact

Contact

KPMG フォレンシック、パートナー(Partner KPMG Forensic)

ヘルベン・シュローズ (Gerben Schreurs)

電話: +31 (0)20 656 8866
電子メール: schreurs.gerben@kpmg.nl