サイバーセキュリティ対策ファーストステップガイド

サイバーセキュリティに適切に対応するには、リスクの識別や検出、対応、データの保護と回復といったプロセスを迅速に行う機能が必要になります。そこで、サイバーセキュリティ戦略の策定における最初のステップとして、まず、今あるリスクを特定するところから始めましょう。

データを把握する

データのセキュリティを強化する際の重要な第一歩は、保有するデータの内容と、そのデータがいかに管理され、保護されているかを特定することです。収集されるデータのほか、そのデータにアクセスできる人、アプリ、デバイスを特定し、復旧時に使用できるデータのコピーを準備しておきましょう。また、保有する情報の種類や量、保管場所がわかる一覧を用意することも必要です。それらの情報には、顧客や従業員の財務情報、口座情報、給与情報といった”PII”、すなわち個人の特定が可能な情報以外にも、企業秘密やマーケティング計画、新製品の仕様といったビジネス情報が含まれます。

携帯端末を把握する

ノートPC、スマートフォン、タブレットなどの盗難や思わぬ紛失が、データ漏洩の主な原因となっています。そのため、これらのデバイスの一覧を作成し、一元的に管理することは極めて重要です。こうした対策により、万が一の場合でも、デバイスを遠隔から保護し、保護すべき情報の不正な読み取りや使用を阻止できるようになります。

チームを把握する

組織では、誰もがサイバーリスクに対処する責任を持つべきです。派遣社員や請負業者も例外ではありません。御社では、セキュリティリスクの識別や報告の方法をはじめ、機密データの保護と正しい取り扱いについて、社内での徹底した情報伝達およびトレーニング戦略を採用していますか? また、サイバーセキュリティに関する講座を従業員研修に盛り込み、パスワードの共有や電子メールによるフィッシング詐欺の危険性、ノートPCUSBストレージデバイスの盗難リスク、あるいは、データセキュリティポリシーの順守しないことで引き起こされる致命的な結果に関して、重点的に説明しているでしょうか?

ベンダーを把握する

第三者に個人情報を委託する場合、相手が、その情報を保護できる能力を備えていることは必須条件です。したがって、個人情報に関して、自社と同等、またはそれ以上の防御策を擁するサービスプロバイダのみを選ぶ必要が出てきます。また、そのような防御策の用意を契約要件に盛り込むことも重要です。さらに、ベンダーが原因で損失が発生した場合の補償が可能であることを示す保険証明書の提示を、ベンダーに義務付ける必要もあります。

予算を把握する

保険は、サイバーセキュリティをめぐる戦いにおいて重要な武器となります。ポネモン・インスティテュートが発表した2017年の「データ漏洩時の損害額調査」によると、セキュリティ侵害によって組織が被る損害額は、盗まれた記録1件あたり141ドルに上ります。その一方で、社内や第三者、あるいはその両方に、こうした事態への対応チームが存在する場合には、記録1件あたりの損失額が19.30ドル減少する可能性があることも示されました。詳しくは、IBMが提供しているデータ侵害時の損失額計算ツールで、自社の業界と場所におけるデータ侵害時の損失額をご確認ください。

最後に、攻撃対象となり得る資産やデータを特定する作業の一環として、もしも、それらが犯罪者の手に渡った場合に考えられる影響を評価しておくことが大切です。たとえば、従業員がそのデータを保護する方法を知っているかどうか。あるいは、いつどのように漏洩を発見しうるか。そして、侵害が発生した場合に真っ先に取るべき対策は何かを、ぜひ検討しておきましょう。

この記事は元々スパニングに掲載されたものです

この記事はBusiness2Community向けにHeather Malecが執筆し、NewsCredパブリッシャーネットワークを通じてライセンスされたものです。ライセンスに関するお問い合わせはlegal@newscred.comにお願い致します。