サイバーセキュリティとは「コンピューターへの不正侵入やウイルス感染、情報漏洩、データの改ざんや破壊といったサイバー攻撃から、情報データを防御する行為」を意味します。
昨今、医療機関を狙ったランサムウェア(身代金目的のサイバー攻撃)から、大企業のサプライチェーンを狙ったもの、中小零細企業を狙ったものまで、業種や規模は関係なく増加している現状です。
ここ数年、政府でも各企業に対してサイバーセキュリティの重要性の喚起はされているものの、未だ対策が不十分であり、特に中小企業においてはまだ他人事だと思っている企業も多数見られます。
サイバー攻撃は単に企業活動がストップするだけではなく、企業の信用問題にもつながり、企業の存続にも影響を与えます。
また、医療機関においては人の生死にも直結する問題に発展する可能性もあり、より一層の対策が求められます。
弊社は以下の代理店の使命に則り、数年前からサイバーセキュリティ問題に取組みながら、上場企業から中小企業、医療機関に至るまで、サイバーセキュリティ対策の啓蒙活動を続けてまいりました。
1.リスクを見つけ伝える。
2.リスクの発現を防ぎ、影響を小さくする。
3.経済的な負担を小さくする。
これらの原則の下、本当に必要なサイバーセキュリティ対策を以下に挙げたいと思います。
サイバーセキュリティ対策というと、システムやソフトの導入が先行しがちですが、多くのセキュリティ事故は人的要因から発生します。社員のセキュリティに対する意識が企業全体のサイバーセキュリティを強化していく土台になります。
また、社員教育にばかり目が行きがちですが、企業経営者や役員がその重要性を十分に理解しない限り浸透しません。
まずは経営者や役員が率先してセキュリティ教育を実践し、企業方針を明確にしていく必要があると考えます。
弊社では多くの企業や団体向けにセミナーや勉強会を企画しております。
サイバー事故は、どんなに対策をしてもそのリスクはゼロにはなりません。
したがって、有事の際にいかに速やかに対応するかあらかじめ手順を決め、初動対応を間違えないようにすることがもっとも重要です。
各企業はBCPの策定を進めていますが、サイバーセキュリティ対策もその一つです。
大企業はCSIRT(シーサート、Computer Security Incident Response Team)を組成し、有事の際の体制を準備している会社も増えてきましたが、中小企業では専門人材の確保も難しく、体制の構築までは至っていないのが現状です。
まずは中小企業でもできること、例えばIRP(Incident Response Policy)の策定によって、有事の際の行動基準を社内で共有し、専門人材がいないところを、外部に速やかに委託できるネットワークを準備することから始めましょう。
弊社ではCSIRT構築支援からIRP策定支援、セキュリティベンダーやサイバー法務に至るまで広いネットワークを持っています。
セキュリティ機器やソフト導入は企業や団体にとって最低限必要です。
当然ながら投資額によって高いセキュリティ環境は構築できますが、負担も大きく、仮にお金をかけたとしてもリスクはゼロにはならないというジレンマがあります。
米国ではシステム投資の約10%をセキュリティに費やしているというデータもありますが、企業規模によってその投資も過剰になる可能性があり、セキュリティ投資が企業経営を逼迫してしまっては本末転倒です。
必要なセキュリティ対策を、企業規模に見合った投資でカバーすることがもっとも重要であると考えます。
クラウドの普及で、今までの境界防御という考え方だけでは足りないことも事実です。
まずは、入口対策「ファイヤーウォールやUTM(統合脅威管理システム)」の導入と内部対策「EDR/Endpoint Detection & Response(MDR/Managed Detection & Response)」の導入で、人的問題と投資を抑えながら、最先端のセキュリティ対策を検討することから始めてください。
何度も申し上げますが、セキュリティ対策に絶対はありません。事故が起こる前提で体制を作る必要があります。
そこで重要になってくるのが、事故対応するための経済的な問題をどう考えるかです。
今やサイバー攻撃や情報漏洩事故が多発しています。事故が発生した際の、調査会社の手配や損害賠償訴訟対応、感染した機器の復旧、営業停止に追い込まれた場合の利益減少まで、多額の費用の発生が予想されます。
一例を挙げると、ウイルス感染した詳細調査にパソコン1台100万円〜200万円かかると言われています。
自然災害や自動車事故など、手元の資金では対応できないからこそ保険が普及していますが、サイバー事故にも同じことが当てはまると考えています。
万一の際のキャッシュフローを確実に保全するためには、サイバー保険への加入もセキュリティ対策の一つです。
弊社では数多くのサイバー保険の実績があります。セキュリティ商品と保険のパッケージ商品も取り扱っておりますので、お気軽にお問い合わせください。
内藤保険サービス株式会社
〒336-0015
埼玉県さいたま市南区太田窪2034-1
TEL : 048-882-0298
FAX : 048-882-0245
E-mail: info@naitohoken.co.jp