もう一歩先へ行く、企業と個人のサイバーセキュリティ対策

 私は大手法人企業のお客様に対して、自社製品の提案の傍ら、ITの活用を通じて業務生産性の向上やよりよい働き方を実現するための支援を仕事として行っています。ITを活用するために切っても切れないのがセキュリティの確保です。セキュリティと一言で言っても、多くの従業員を抱え、様々な資産を保有する企業において、検討すべきことは多方面に渡ることは想像に難くはないでしょう。私たち個人でさえ、自分の身の回りのセキュリティを確保し続けることは大変ですが、企業のセキュリティとなると実に多くのことを検討しなければなりません。
 では、企業においてはセキュリティをどのように捉えて対策をしていけば良いのでしょうか？世の中には様々なアプローチがありますが、一つの道標になるのが米国国立標準技術研究所（NIST）が提唱している「サイバーセキュリティフレームワーク」です。
 NISTは日本におけるJISのような機関で、米国内に流通する様々な製品やサービスを安全、快適に利用できるようにするための指針を定めています。米国向けでありながら、事実上の国際標準の位置づけとなっている指針も多く、セキュリティ領域においても日本をはじめ多くの国において参考にされています。

 ※ かなり抽象的な内容となりますが、サイバーセキュリティフレームワークの説明資料
   に日本語訳を付けたものがIPAから公開されていますので、興味のある方は読んで
   みてください。
   重要インフラのサイバーセキュリティを改善するためのフレームワーク 1.1版（IPA）
   https://www.ipa.go.jp/files/000071204.pdf

 このサイバーセキュリティフレームワークでは、取り組むべきセキュリティの領域を「識別」「防御」「検知」「対応」「復旧」の5つに分けています。このうち、「識別」と「防御」は「サイバー攻撃をいかに防ぐか？」という観点で、「検知」「対応」「復旧」は「攻撃を受けてしまった後にいかに対処するか？」という観点となります。
 皆さんは、セキュリティ対策と聞いて何を思い浮かべるでしょうか？複雑なパスワードを設定する、疑わしいサイトにはアクセスしない、ウィルス対策ソフトを入れるといったことを心がけている方は多いと思いますが、果たして「攻撃を受けてしまった後にいかに対処するか？」という観点で十分に考えられていらっしゃるでしょうか？「自分はセキュリティ対策を心がけている方だから大丈夫」 － そう考えている方ほど、実は攻撃を受けてしまった後の対処までは意識が回っていないものです。
 企業においても、これまでは「サイバー攻撃をいかに防ぐか？」という観点からの対策が中心でした。そのため、不幸にもサイバー攻撃を受けて個人情報が流出してしまった際に、問題の検知が遅れたり、個人情報流出の被害を受けた方々への対応が後手に回ったりする事例が散見されました。こうした経験を踏まえ、今では多くの企業でサイバー攻撃を受けた後の対処について本格的に取り組んでいます。
 一方、私たち個人が自分だけの力で、サイバー攻撃を受けてしまった後の対処法を確立することは中々難しいのが現状です。「もし私の個人情報が流出したと企業から連絡を受けたらどうするのか？」「SNSのアカウントが乗っ取られてしまったらどうするべきなのか？」など、身近に起こり得るサイバー攻撃への対処について、日頃から身近な人と話し合って意識を高めていくことが、万が一の際に迅速かつ冷静に対処をして、被害を最小限に食い止めるための一歩に繋がります。実践してみることをお勧めします。

 ※ 本コラムの記載内容は個人の見解であり、所属会社の立場、戦略、意見を述べたものではありません。