{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
2018-10-23
あらゆるモノがネットワークにつながる時代の到来に備えた様々なサイバーセキュリティー対策を紹介してきた。しかし、闇雲に取り組んでも効果が上がらないだけでなく、コストもかさむ。現在の対策にも通じることだが、まず「自社の守るべき情報資産」を特定することが大切だ。すぐ分かるものだけでなく、意外な機器やソフトウエアが実はセキュリティー上は重要なことがあり、しっかり調べておく必要がある。
生産や物流に関係するシステムの外部連携が進み、セキュリティーの前提条件が大きく変化している。このような状況下でのサイバー攻撃対策を考える場合、ファイアウオール(安全隔壁)の高度化や最新のウイルス対策ソフトの導入など、多くはシステム的な防御策を最初に考えがちである。
しかし、サイバー攻撃から守る情報資産が特定できなければ実効的な対策にはならない。例えば、基幹系システムから程遠いデバイスで感染したランサムウエア(身代金要求型ウイルス)が大手製造業のシステムを止めた事例は、その証左でもある。また、一度特定して終わりではなく、機器の内容や外部の状況の変化に合わせて適宜、棚卸しすることが重要だ。
ただ、情報資産の棚卸しといってもそう容易ではない。下の2つを確実に行うことが必要である。
(1)どのような重要情報を有するかを確認し、生成から利用、保存、廃棄までのサイクル全般を業務・システムの観点で押さえる。
(2)情報機器のハードウエアとソフトウエアの情報を継続的に更新する。
(1)も簡単ではないが、更新頻度の面でより大変なのは(2)である。その際、経理部門が管理する資産台帳を援用するのは実用的ではない。では、どのような形で棚卸しをすべきか。業務量の多さや手順を考えるとIT(情報技術)の活用に解がある。例えば、情報機器の発注購買からのデータの自動連携、社内の機器情報の自動更新などを、定型業務を自動処理するソフトのRPA(ロボティック・プロセス・オートメーション)を介して実現することが考えられる。
今後、守るべき情報資産に重点的な対策を講じる上で、ITを使った迅速かつ効率的な棚卸しの重要性が増すことは間違いない。こうした足元の管理を充実させてこそ、新たなサイバーリスクに打ち勝つこともできるといえる。
※本記事は、日本経済新聞社 日経産業新聞「戦略フォーサイト」コーナーに、「セキュリティー新時代」をテーマに2018年8月21日から9月12日に連載された記事の再掲載となります。
※本記事は、日本経済新聞社の許諾を得て掲載しています。無断複製・転載はお控えください。
※法人名、役職などは掲載当時のものです。
サイバーセキュリティはテクノロジー・IT部門のみの課題ではなく、全社一体として取り組むべき、企業の継続性を維持する上で不可欠な経営上の課題となっています。この課題に対して内部監査部として取り組んでいくことは、企業における第三のディフェンスラインとして非常に重要です。
IT戦略テーマ実現の観点から、リスクが適切に管理され、経営資源(ヒト、モノ、カネ)を有効かつ効率的に活用できるITガバナンス態勢の構築を支援します。
脆弱性診断は、システムのプラットフォーム(OS、ミドルウェア)だけではなく、サイバーセキュリティの観点から車両システムや、コネクテッドカーを取り巻くインフラなどのネットワーク環境までも検査します。