経営とサイバーリスクマネジメント

サイバージム

経営とサイバーリスクマネジメント

企業経営には様々なリスクがあり、それぞれに応じたリスクヘッジやリスクマネジメントがなされています。しかし、日本国内においてサイバーリスクを経営課題として捉えている企業はまだ少ないという現状があります。(今回の感染症拡大においても、事前に詳細な想定がなされていた企業や団体は多くなかったのではないでしょうか)

世界各国でサイバーインシデントは増加の一途をたどっており、日本も例外ではありません。特にここ数年は大型国際イベントが日本において多く開催されるタイミングであるため、全世界からの攻撃が増加していますし、大規模イベントに合わせて攻撃を実行できるよう着々と水面下で準備がなされているものも相当数あることが想定されます。

現在ではどの業種においてもあらゆる面でシステムやオンラインを導入しているため、サイバーインシデント発生時の経営への打撃は非常に大きく、短期間で経営の継続が困難になるケースも大いに可能性のある時代になっています。

各企業では、セキュリティ部門を創設する、他社サービスを購入してエンドポイント対策を講じる等は一般的に行われるようになっていますが、実際にサイバー攻撃を受けた場合のシミュレーションを経営者まで含め行われている企業は少数です。

実際に自社がサイバー攻撃を受けた場合の想像をしてみてください。
どこに攻撃を受けることで、どのようなビジネス上の被害や影響が想定されるのか
どこでアラートがあがり、どのようなルートでどのような情報がエスカレーションされることになっているのか
どれだけの部署に影響が及び、その際の各部署の窓口は誰なのか、窓口からどう部署内に周知されるのか
サービスに影響がある場合、サービスを停止するのか否か、停止する場合はどう顧客に周知し対応するのか
広報はどのように対外対応をするのか
それぞれの問題に対する意思決定者は誰なのか
全従業員がこのような事態が起こり得るということを認識できているのか ………

ざっと想像するだけでも、全社的に大きな影響を与える問題であり、顧客を巻き込む事態となればさらに大きな問題となります。その時に上記のような対応をいかにスピーディーに、かつ的確に行うことができるかどうか。これがサイバーインシデント発生時、そして発生後の事業の明暗を分けることになります。この規模の対応は、事前に綿密なシュミレーションがされていないと対応が難しいでしょう。

まずは、以下のような認識を持つことが重要です。
・サイバーセキュリティに関するリスクや課題は情報管理部門のみで負うレベルのものではなく、企業の経営戦略上の課題であるということ
・「自社には起こりえない」、「そんなことがあってはならない」という意識を排除すること
・侵入や侵害が行らないように防御に全力を注ぐのではなく、侵入後の検知と対応が重要であると考えること
※防御策は当然必要ですが、すべての攻撃を防げるわけではないという考え方が必要です

 

エグゼクティブウェビナー『経営者に求められるサイバーリスクマネジメント』
特別講師 慶應義塾大学法学部 田村 次朗 教授
経営幹部に必要とされるサイバーセキュリティに対する新しいマインドセットについて紹介します。

6月30日(火)14:00~ 詳細はこちらからご覧いただけます

 

CYBERGYMのトレーニング一覧はこちら

お問合せ:CYBERGYM TOKYO 03-6807-4312 / info_jp@cybergym.com