2020年7月20日、zoomにて行われた「守れ!情報の価値~あなたも狙われているネットセキュリティ~」事業を終え、復習を兼ねた記事を作成しました。

是非、サイバーセキュリティを実践・強化していただきたいと思っております。

tirasi_yoko

講演内容
• サイバーセキュリティの概況
• 企業におけるサイバーリスク管理の実態
• サイバーセキュリティ対策で何をすれば良いか︖
①組織体制整備
②リスクアセスメント
③防御・対策
④保険

講師:⼟井剛様(MS&ADインターリスク総研㈱ 新領域開発部 サイバーリスク室⻑)

サイバーセキュリティの概況
2624245_m

攻撃者の⼿⼝はますます巧妙化してきていること、その対象は個⼈情報の搾取から、IDとパスワード、知財情報、IoT機器、直接的な⾦銭要求など幅広く拡⼤していて、それに伴い、グローバルな⼤企業だけでなく中⼩企業を含めた組織団体も攻撃対象となっていることを学びました。

対策の現状

アンチウィルスソフトなどの防御だけに頼ったセキュイリティ対策ではなく、「検知」や「対応(特に初動対応)」までを含めた対策が求められています
その中で、サイバー攻撃に、企業の“規模”や “業種”は関係ない事、様々な手口で実例を学びながら近所のお店や会社も 被害にあっていることを知りました。

しかしながら、対策の現状としては、1,000名以下の規模の企業の約6〜7割がサイバーリスクについて「名称のみ」または「全く知らない」と回答しています。
その原因としては、サイバーリスクへの対応の優先度は企業規模によらず、他の経営課題に⽐べて極めて低いためである事をデータを通じ学びました。
小規模事業者になるにつれてサイバーセキュリティ対策への優先順位が低くなっている現状です

自社でできる対策
2288933_m

私達のとるべきサイバーリスクへの対策については、事業継続性の確保やサイバー攻撃に対する防衛⼒の向上にとどまらず、 ICTを利活⽤して企業の収益を向上させることも重要な要素である為、経営者は、サイバーリスクへの対応を企業価値を⾼める「投資」として活動することが最も重要なポイントである事をお話いただきました。

組織体制整備→リスクアセスメント→防御・対策→保険

のサイクルを自社でできる事から考えていきながら、専門家のアドバイスも参考にし、企業としてのサイバーセキュリティ意識と防衛力をつけることの必要性を学びました。

 

①現状の把握

まずは、現在の状況を下記サイトの「5分でできる!情報セキュリティ自社診断」で診断しましょう。
対策できている部分とできていない部分が明確になります。
対策できていない部分について解説編を読んで必要な対策を講じて下さい。

IPA(情報処理推進機構)サイト内
中小企業の情報セキュリティ対策ガイドライン
5分でできる!情報セキュリティ自社診断
また、MS&AD サイバーセキュリティ基本態勢診断というものもあります。

これらの診断を行うことで何が対策として必要なのかが見えてくると思います。

②基本的な対策

1.同一のパスワードの使い回しをしない
複数サイトで同一のパスワードの使い回しをするとパスワードが漏洩した場合に悪意ある者があらゆるサイトへのログインが可能となってしまいます。

2.自分が利用するIDとパスワードを、リスト化して保持
多くのサービスで異なるパスワードを設定していると、すべてのIDとパスワードを暗記することは困難で、何らかの形でリストとして保持することが現実的な解となります。
紙のノートやメモ帳などに保持していても良いのですが、リストが肥大化した際のメンテナンス性を考慮し、IDとパスワードを記載したリストを「パスワード付きの電子ファイル」として保持することを勧めます。