1. トップ
  2. Action(活動)
  3. カジノシークレット 銀行出金
  4. 2018年11月15日 No.3385
  5. カジノシークレット 銀行出金

カジノシークレット 銀行出金

Action(活動) カジノシークレット 銀行出金 2018年11月15日 No.3385 カジノシークレット 銀行出金 -21世紀政策研究所 解説シリーズ/21世紀政策研究所研究委員(東京海上日動リスクコンサルティング主任研究員) 川口貴久

川口研究委員

サイバー攻撃発生時のカジノシークレット 銀行出金には2つの重要な要素がある。1つは「インシデントカジノシークレット 銀行出金」であり、主にCSIRT(インシデントカジノシークレット 銀行出金のための組織の総称)や情報システム部門等が担う。インシデントカジノシークレット 銀行出金の枠組みは、米国立標準技術研究所(NIST)、JPCERT/CC(国内のインシデントカジノシークレット 銀行出金支援や助言・情報提供を行う組織)、総務省等のさまざまな組織・団体が提示をしている。これらに共通するインシデントカジノシークレット 銀行出金の構成要素は、インシデントの検知・受付、トリアージ(緊急性判断)、封じ込め、被害拡大防止、根絶、復旧等である。

もう1つは「事業継続カジノシークレット 銀行出金」であり、サイバー攻撃によりシステムやネットワークが使えない場合に事業を継続するための戦略・対策である。一般に、事業部門、経営企画部門、総務部門等が担う。

サイバー攻撃を検知しても、インシデントカジノシークレット 銀行出金が適切であれば、企業としてのカジノシークレット 銀行出金はそこで完了する。しかし、サイバー攻撃にうまく対処できなかった場合、企業はインシデントカジノシークレット 銀行出金と事業継続カジノシークレット 銀行出金の2つを同時に実施しなければならない。

そのため、多くの企業はインシデントカジノシークレット 銀行出金手順に加えて事業継続計画(BCP)を整備したうえで、第三者評価や演習・訓練を通じて、実効性を高めている。

■ 2つの有事カジノシークレット 銀行出金を進めるうえでの課題

インシデントカジノシークレット 銀行出金部門と事業継続部門の円滑な連携という点で、いくつかの課題がある。

第1に、サイバー攻撃発生直後の「影響評価」である。サイバー攻撃は多くの場合、その検知・初動段階で被害範囲、原因、影響を正確に確定することが難しい。インシデントを検知した場合、その影響が小さいのか大きいのか、それとも不明なのかを評価・判断(トリアージ)して、経営トップや事業サイドと迅速に共有・連携し、必要に応じてBCPを発動することが必要である。こうした緊急性の判断権限、基準、プロセスが未整備な企業も少なくない。

第2に、サイバー攻撃の被害拡大防止のための「積極的停止措置」は有効だが、そのオプションや発動基準は十分に準備されていない場合がある。積極的停止措置とは、外部との通信遮断やマルウェア感染の疑いのあるサーバーの停止等を通じて、被害拡大や情報漏洩を防ぐことである。これは必然的に業務の縮小や停止を含む。

■ 求められるサイバー攻撃版BCP

情報漏洩を防止するため、セキュリティオペレーションセンター(SOC)の担当者の判断で、社内と外部の接続を即時遮断することは妥当かもしれないが、重要事業や生産の停止にかかるような措置はより上位の権限が必要となることが多い。他方、判断・カジノシークレット 銀行出金は迅速性が求められるため、会議を開催して議論する余裕はない。いずれにせよシステムやネットワークが停止した場合の「オフライン」のBCPが求められる。逆にいえば、オフラインBCPがなければ、被害拡大防止措置を講じることを躊躇するかもしれない。複数の積極的停止措置オプションと、カジノシークレット 銀行出金するオフラインBCPの整備は不可欠である。

第3に、前述2点と関連するが、サイバー攻撃の「被害想定」が十分に検討されていない。検討されていても広く共有されていないという問題である。

サイバー攻撃の影響は、経営資源のうち人的資源、物的資源(生産設備等)、外部資源(委託先・取引先等)は利用できるが、情報資源(ITインフラやデータ)のみが利用できない状況だ。しかし、利用不可となる情報資源の範囲は、攻撃被害やカジノシークレット 銀行出金策によって、(1)外部との通信遮断(単にメールやブラウジングできない等)(2)社内の業務システム(顧客データベース等)の利用停止(3)顧客向けクラウドサービスの停止――等、さまざまである。自社のネットワーク構成、セキュリティレベル、事業への影響を踏まえた被害想定をあらかじめ検討しておく必要がある。

■ 2つの有事カジノシークレット 銀行出金を理解する人材

第4に、インシデントカジノシークレット 銀行出金と事業継続カジノシークレット 銀行出金の双方を理解し、最高情報セキュリティ責任者(CISO)等の経営判断を支える「人材」の問題である。内閣サイバーセキュリティセンター(NISC)は、こうした人材を「戦略マネジメント層」「橋渡し人材」と呼ぶ。戦略マネジメント層はビジネスプロセスを理解し、かつICTやセキュリティにも明るい必要がある。戦略マネジメント層の確保・育成は、個社というよりも業界や社会全体の課題である。

【21世紀政策研究所】

「21世紀政策研究所 解説シリーズ」はこちら

「2018年11月15日 No.3385」一覧はこちら