複雑化するサイバーセキュリティへの適切な危機対応とは

複雑化するサイバーセキュリティへの適切な危機対応とは


2024年2月21日に、第一線でサイバーセキュリティに関わってこられた専門家や、CISOの方々を招き、ウェビナーを開催しました。複雑化するサイバー攻撃への危機管理、生成AIなどの新興技術動向やサイバー関連法令のアップデートを踏まえたサイバーリスクの再評価やその対策等を巡るディスカッションの模様を一部ご紹介します。


要点

  • サイバー攻撃への対策として、マルウエアへの直接の対策だけでなく、「キーレス」「パスワードレス」など、新たな視点からの対処法が重要となる。
  • IT-BCPとサイバーBCPは異なる考え方を必要とし、事業継続計画はインシデントの性質に適合するよう柔軟に調整・適用することが望ましい。
  • 新興技術の導入に伴うセキュリティリスクの理解と、そのリスクの可視化を通じた適切な事業委託の取り組みは、ビジネスサイドが中心となって積極的に参画する必要がある。

2024年2月21日に、 Digital Trust Webinar「複雑化するサイバーセキュリティ対応~危機管理と新興技術等への備え~」を開催しました。本ウェビナーでは、サイバー攻撃が多様化・複雑化している現代におけるサイバーインシデントへの危機対応について、第一線で活躍されている専門家や実務家を招いて2部構成で議論を行ったほか、各視点からの知見を共有いただきました。


第1部:サイバーインシデントにおいて危機管理対応および情報開示をどこまで行うべきか

第1部では、freee株式会社のCISOである茂岩祐樹氏、株式会社メルカリの執行役員 CISOである市原尚久氏、八雲法律事務所の山岡裕明弁護士の3名をパネリストに迎え、サイバーインシデント時における危機管理対応について、以下をテーマとしたディスカッションを行いました。

第1部 ディスカッションテーマ

第1部 ディスカッションテーマ

本稿では第1部ディスカッションの中から、「対応への備え(BCP、技術等)」「脅威情報の共有」「人的課題への対応(育成、自動化等)」のテーマにおいて議論された内容につき、重要な点を抜粋してお届けします。


第1部の様子。左から、 杉山  一郎(EY新日本有限責任監査法人 プリンシパル)、市原 尚久 氏 (株式会社メルカリ 執行役員 CISO)、 茂岩 祐樹 氏(freee株式会社 CISO)、山岡 裕明 氏(八雲法律事務所 弁護士)

第1部の様子。左から、 杉山 一郎(EY新日本有限責任監査法人 プリンシパル)、市原 尚久 氏 (株式会社メルカリ 執行役員 CISO)、 茂岩 祐樹 氏(freee株式会社 CISO)、山岡 裕明 氏(八雲法律事務所 弁護士)

関連イベント・セミナー

Digital Trust Webinar <Cyber Security> 複雑化するサイバーセキュリティ対応 ~危機管理と新興技術等への備え~

デジタルトランスフォーメーション(DX)が企業に多くの利益をもたらす一方で、DXが引き起こす情報資産やサプライチェーンへのサイバー攻撃も増加し、企業に事業停止や賠償損害等の影響を及ぼしています。新しい技術や規則への理解も重要となる中、これらの課題について、専門家や実務家が危機対応策の議論を行います。

―多様なサイバー攻撃への対応とは

議論はまず、インシデント対応への備えから始まりました。業務環境にクラウドを多用している企業では、ソフトウェアサプライチェーンの構造に起因するものも含め、多様なサイバー攻撃のリスクが存在するため、優先順位を付けてリスク低減のためのプロジェクト化を行っていくことが重要です。

 

例えば、昨今の取り組みのキーワードとなっている「キーレス」「パスワードレス」は、クレデンシャルが複数箇所に存在する状況でプロダクトオーナー1人のみが全ての鍵を所管しているケースでのマルウエア感染対策や、従業員のPCがマルウエアに感染した場合における攻撃者による別アプリへのアクセス防止対策などに非常に有用となります。このような優先的に対処すべき事例の紹介がありました。

 

インシデント発生に備えたトレーニングにおいては、サイバーインシデントを完全に防御することは不可能であるため、全社員が攻撃される前提で考えるという意識を持って行うことが重要です。また、トレーニング計画の策定には、発生確率が高いリスクシナリオを優先的に採用すること、平時のうちに有事のコミュニケーション方法を整備しておくことなど、ディスカッション内で重要ポイントへの言及がありました。有時にはセキュリティ担当やエンジニアのみならず、法務、広報、カスタマーサポートなど多くの部門が極限状態で対応する状況になります。その点を踏まえ、平時のうちにコミュニケーション・チャネルの特定や細部にわたるプロシージャを整備しておくことも重要ポイントとして挙げられています。

 

BCP(事業継続計画)に論題が移ると、「多くの企業では自然災害復旧などを主眼としたIT-BCP(IT障害を想定したBCP)は備わっているものの、サイバーインシデントを想定したBCP、いわゆるサイバーBCPの観点が不十分ではないか」という問題提起がなされました。IT-BCPでは復旧を先行して復旧後に調査がなされますが、サイバーBCPは、潜伏中の可能性があるハッカーの侵入防止、効果的な再発防止策の策定、さらに対外説明に向けた情報収集などを目的とした調査が、復旧に先行して行われます。そのため、インシデントにひも付けてBCPの中に落とし込むことが重要です。

 


―セキュリティ分野の情報共有と人材育成の在るべき姿

続いて議論された脅威情報の共有に関するトピックの中で特に注目されたのは、同業他社での情報交換が有用であることです。セキュリティ分野は協調領域であり、同様の手口を広げないためにも同業者間でコミュニティを形成するなどして、速やかに脅威情報を共有できる体制整備が望ましいとパネリスト間で意見の一致をみました。

 

第1部の最後は、セキュリティ人材育成に関する話題となりました。多くの企業で苦労しながら人材育成に取り組んでいますが、担当者を疲弊させないための対策や、社内のIT環境に精通した人材をセキュリティ担当とすることにより円滑に育成が進められたケースなど、さまざまな事例が紹介されました。

 

※  IDやパスワードをはじめとする、ユーザー等の認証に用いられる情報の総称


第2部:生成AI等新興技術に対してサイバーセキュリティ観点からどう対処すべきか

第2部では、TMI総合法律事務所の寺門峻佑弁護士、トレンドマイクロ株式会社の日本地域CISOの清水智氏、トヨタ自動車株式会社のデジタル変革推進室 主査の片山建氏を迎え、新興技術とサイバー関連法令対応について、以下のテーマでディスカッションを行いました。

第2部 ディスカッションテーマ

第2部 ディスカッションテーマ

本稿では、第2部ディスカッションの中から「業務変革を踏まえた基本姿勢」「新興技術のガバナンス」「可視化や危機意識の共有」「継続的対応」のテーマにおいて議論された内容につき、重要な点を抜粋してお届けします。


第2部の様子。左から、杉山  一郎(EY新日本有限責任監査法人 プリンシパル)、片山 建 氏(トヨタ自動車株式会社 デジタル変革推進室 主査 )、清水 智 氏(トレンドマイクロ株式会社  日本地域CISO)、寺門 峻佑 氏(TMI総合法律事務所 パートナー)

第2部の様子。左から、杉山 一郎(EY新日本有限責任監査法人 プリンシパル)、片山 建 氏(トヨタ自動車株式会社 デジタル変革推進室 主査 )、清水 智 氏(トレンドマイクロ株式会社 日本地域CISO)、寺門 峻佑 氏(TMI総合法律事務所 パートナー)


―新興技術に対する基本姿勢とガバナンス

まず、AIなどの新興技術をビジネスプロセスに導入する企業の望ましい基本姿勢を取り上げました。新興技術については、事業戦略への落とし込みとそれにひも付くリスクに関して、同時に検討することが重要です。また、これまでは単独で検討される傾向が強かったサイバーセキュリティを、事業戦略に即したリスク戦略の中に位置付けることがポイントになります。それにより企業の全社員からのセキュリティに関するルールの目的について理解や共感が得られ、結果的にルールを順守しない事例が減り、脆弱性の改善にもつながると言及がありました。

新興技術に係るガバナンスに関しては、新興技術を利用して行われるサービス・ビジネスのプロセスを把握することの重要性が論じられました。つまり、関係者(委託先含む)やその関与内容などを理解し、守るべきものが何かを特定した上で、優先順位を付けて対応することが肝要です。また、新興技術はブラックボックスであることが多いため、リスクを認識する際にはヒューマンインターフェイスの部分だけではなく、技術そのものの(アルゴリズム)を理解できる人が必要である点や、リスクマネジメントは過去の事故から学ぶことが一般的だが、新興技術は過去に事例がないものを想定しなければならない難しさがある点も示されました。

グローバル企業において海外子会社のデータを日本国内で管理した場合の、データの越境移転に関する留意点も取り上げました。欧州の一般データ保護規則(GDPR)をはじめ、各国で異なる規制の網羅的な把握や、データ越境移転を踏まえた契約締結時の配慮など、国際的な法務の知識が求められるため、優先順位を付けて専門家と協議していくことが重要だと言及がありました。


―リスクの可視化と新興技術における継続的な対応

続いて話題は、ソフトウェアサプライチェーンを踏まえた対策に移りました。ソフトウェアサプライチェーンにおけるセキュリティを考える際、重要なポイントとして「SBOM(Software Bill of Material:ソフトウェア部品表)などのリスクを可視化」「可視化により明示されたリスクを評価する仕組みの構築」などが挙げられます。リスク評価の仕組み構築は非常に難易度が高い取り組みとなるため、専門家を活用することも一案であるという声も上がりました。また、サプライチェーンに関与する委託先に明確な選定基準を設け、契約条項に落とし込んでおくことがある種の証拠になるため、セキュリティ上のリスクヘッジの観点でも重要な取り組みになります。

第2部の最後は、新興技術のビジネス適用を継続的に取り組む際の留意事項を取り扱いました。新興技術をビジネスに適用するには、企業内の部署間で相互理解を深めることが重要との意見がありました。リスク管理部門や法務部門はサービス内容や技術的視点を、技術者は法務的視点をそれぞれ持ち合わせることで、リスクの本質が見えやすくなります。また、経営者主導の下、セキュリティー・バイ・デザインなどに代表されるプロダクト開発の早期から法務やセキュリティの議論を進める取り組みなどの対策が有効です。このようなさまざまな取り組みに関する意見交換が行われました。

本ウェビナーをご視聴いただいた皆さまから、「各フィールドの専門家による具体的な事例が大変参考になった」「サイバーセキュリティのキーポイント、注意点、落とし穴などの情報を知ることができて有意義だった」など、たくさんのコメントをいただいています。

本稿では、議論で聞かれた意見を中心に概要のみを紹介していますので、サイバーセキュリティの「今」が分かる本ウェビナーのアーカイブをぜひご視聴ください。配信は2024年5月31日までとなっています。以下のページからお申し込みください。

お申し込みページ:Digital Trust Webinar <Cyber Security> 複雑化するサイバーセキュリティ対応 ~危機管理と新興技術等への備え~

今回のウェビナーが、サイバーセキュリティへの最新の見解や、具体的なサイバーインシデントへの対応策の知見を深める機会となれば幸いです。


登壇者との記念撮影。 左から、安達 知可良(EY新日本有限責任監査法人 アソシエートパートナー)、加藤 信彦(EY新日本有限責任監査法人 パートナー)、片山氏、杉山、清水氏、寺門氏、茂岩氏、市原氏、山岡氏

登壇者との記念撮影。左から、安達 知可良(EY新日本有限責任監査法人 アソシエートパートナー)、加藤 信彦(EY新日本有限責任監査法人 パートナー)、片山氏、杉山、清水氏、寺門氏、茂岩氏、市原氏、山岡氏



サマリー 

サイバー犯罪が高度化し、被害企業に与える影響が増加する中、企業にとって新興技術導入時のセキュリティリスク認識やサプライチェーンリスクの可視化が重要になります。また、全社員によるセキュリティ戦略の理解と共感や法務的視点の重要性などから、サイバーセキュリティへの組織全体での取り組みが求められます。


関連コンテンツのご紹介

サイバーセキュリティ

組織が変革の加速とサイバーセキュリティの強化を同時に実現させる方法について、詳細をご覧ください。


Digital Trust Webinar <Cyber Security> 複雑化するサイバーセキュリティ対応 ~危機管理と新興技術等への備え~

デジタルトランスフォーメーション(DX)が企業に多くの利益をもたらす一方で、DXが引き起こす情報資産やサプライチェーンへのサイバー攻撃も増加し、企業に事業停止や賠償損害等の影響を及ぼしています。新しい技術や規則への理解も重要となる中、これらの課題について、専門家や実務家が危機対応策の議論を行います。



EY Japan Assurance Hub

時代とともに進化する財務・経理に携わり、財務情報のみならず、非財務情報も統合し、企業の持続的成長のかじ取りに貢献するバリュークリエーターの皆さまにお届けする情報ページ 

EY Japan Assurance Hub

この記事について