サイバーセキュリティ☆その対策だけでほんとに大丈夫デスカ?
8月ですね~
先月 ㈱エンタープライズ山要のレジリエンス認証更新登録 無事済んだ!と思ったら 同年に認証取得した㈱寝屋川興業の更新申請がスタートしました。
認証審査面接では自社の事業継続計画(以下BCP)の脆弱な部分や経営の強みに変えられるBCPなど、経営に有益な指摘をいただけるので私は楽しみ。先の審査でのアドバイスを2か月後の審査で軌道修正してブラッシュアップさせられるのは、2年ごとの更新でついつい後回しなりがちなBCPを形骸化させないために とても良い機会をいただけけているなとありがたく感じます。
左から 副リーダートミー キューちゃん リーダーナカジー(撮影ジュリ)
そんなわけで 9月締め切りの更新審査及び 9月実施予定の事業継続実動訓練の方向性について 臨時MTGも開催してもらった8月第一土曜日。チームにとって幸先よい8月スタートとなりました。
新しくスタッフ通信に紹介された去年11月入社のキューちゃんはジュリちゃんと一緒にBCAOのセミナー受講してもらったり、彼の勤勉さを大いに発揮してもらってBCPチームを支えてくれることを期待しています。
同時期に入社してくれた現役バレーボール選手のジュリちゃんもチームの若い子をしっかり鼓舞してくれてチームに欠かせない存在に!今月より書記と撮影係を兼任してくれるので私のブログを彩ってくれることを期待しています!
中小企業が狙われている!?サイバーセキュリティ対策セミナー
6月22日に営業ブチョーと 大阪府と損保会社さん主催のサイバーセキュリティ対策セミナーに参加して、大阪府警サイバーセキュリティ対策課のお巡りさんと損保会社の方から 昨今のサイバーアタックの状況や対策について伺ってきました。
(1)企業におけるサイバーセキュリティ対策
(2)サイバー攻撃の実態と対策のポイント
(3)サイバー攻撃の被害想定とリスクファイナンス
データの誘拐犯 ランサムウェア
ユーザーが使用するデバイスに不利益をもたらす悪意あるコードやソフトウェア(マルウェア)の一種で、サイバー犯罪者の中で一番普及しているがこのランサムウェア。勝手にデバイスにインストールされ、デバイスに格納されたファイルを暗号化して、データ復旧のために仮想通貨などをユーザーに要求してくる悪い奴です。
うちはそんなにデータないから。セキュリティソフト入ってるから大丈夫だよ。クラウド管理してるし。
実際 弊社もそんな風に考えていました。
記憶に新しい 大きな病院がサイバーアタックに遭い、電子カルテなど院内のシステムが使えなくなる事件がありました。DXがそんなに進んでいない中小企業のわが社とは対岸の火事のように感じておりました。事業継続推進機構(BCAO)の活動の中で 実際に被害に遭った病院長のお話を伺う機会を得られ、実は自分たちも大いに関係するかもしれないということがわかりました。
なぜ中小企業が狙われるのか
サイバー攻撃者がサイバー攻撃をする背景には、主に金銭目的、政治的または軍事的な目的、そして自己承認欲求を満たす目的など
大企業は儲けてるから金よこせ!とか あの企業の方針(製品等)が気に入らないから懲らしめよう!で攻撃目標に定めた場合、
門が頑丈でお濠も深いセキュリティ万全な城をダイレクトに攻撃するよりも、出入りの業者にまぎれ、城内部に潜入してからテロ行動したほうが破壊力増しそうって考えるわけですね。有名なマルウェアのトロイの木馬も実際の攻撃方法から名づけられてるし。
サイバー攻撃は、自社だけでなく、サプライチェーンを構築する顧客や取引先にも被害が波及する可能性があることから、「自分の会社なんか狙われない」と思っていた企業様もしっかりサイバーセキュリティ対策をしなければならない時代になってしまいました。
サイバー攻撃の被害想定とリスクファイナンス
法人は情報の取り扱いに関して厳格な管理を求められるようになり、個人情報保護法は2022年4月に改正され、情報漏えいに対する事業者の漏えい時の報告義務が追加されるなど、改正された主な内容は以下の通り
●漏えい等が発生し、個人の権利利益を害するおそれが大きい場合に、個人情報保護委員会への報告及び本人への通知を義務化
●個人情報保護委員会・被害を受ける可能性への報告義務(速報:発覚日から3~5日以内、確報発覚日から30日以内)
●課せられる罰金の増大(30万円~50万円→50万円~1億円)
そこで 報告に必要な調査をするわけですが。。。
あなたの会社にはPC何台ありますか? この調査はPC1台30~50万円かかるといわれています。大企業、グループ会社、ほかの業者合わせたら一体何台になるやら。
年商10億円の会社の被害想定約1%=1000万円 の内訳のほとんどが調査復旧にかかる費用とされます。
取引会社がサイバー攻撃に遭った際 その入り口がわが社だったら!スタッフ(の家族の)のスマホだったら!そうです マルウェアはPCだけでなくスマートフォンやタブレットにも感染するため、多くの人が注意しなければなりません。
サイバー攻撃が我が社に起因するものだったら 調査復旧費用を損害賠償請求される 可能性が高いです(被害を受けた会社のセキュリティ対策によって過失割合的なものが変わってくるとか)
こういったリスクも 事業継続的にリソースを下げる大きなリスクの一つとして考えるべきなのです。
攻撃に有効な8つの対策 さらにサイバーセキュリティ保険
1. 定期的なバックアップの実施
2. システムやアプリケーションの脆弱性確認
3. パスワード強化や多要素認証の導入
4. アクセス権限や範囲の整備
5. 従業員のセキュリティ教育と訓練
6. インシデント対応計画の策定
7. パートナー会社など第三者リスクの管理
8. 優秀なセキュリティツールの導入
ここまでしっかり取り組んでも なお攻撃を受けてしまう可能性はゼロではありません。
そこで サイバー攻撃によって発生した第三者への損害賠償責任や、復旧費用、喪失した利益などを補償するサイバーセキュリティ保険という備えも必要だと 弊社でも早々に契約をした次第です。
セキュリティ教育に 内閣サイバーセキュリティセンター(NISC)
内閣サイバーセキュリティセンター(NISC)のHPには 各府省庁のサイバーセキュリティ関係情報(重要インフラ対策等の情報を含む)や NISCサイバーセキュリティ意識啓発動画ポータルのリンクがあったりと 最新のサイバーセキュリティ情報が得られて便利です。なかなか社員教育に時間を取りにくい会社でも Youtubeならスタッフさんの心的ハードルも下がりセキュリティ教育に取り入れやすいのではないでしょうか?
『サイバー攻撃 今、そこにあるリスク~経営トップがすべきこと~』ドラマ風で面白いですよ
【DXを考えよう】事業継続推進機構オープン勉強会8/28
私も参加させていただいているBCAOでは ITサーバータスクフォースによる無料勉強会がタイムリーに開催されますので、ご紹介させていただきます。私も参加予定です~
BCAOオープン勉強会【みんなでDXを考えよう】
◆日時:2023年08月28日(月)15時00分~17時00分
◆場所:各受講者端末前(オンライン会議システム「Zoom」を活用)
◆内容:各企業のビジネス戦略に必須であり有効であるといわれるDX、またそれに加えてDXの有力な要素の例とし挙げられているクラウドが事業継続にも有効と言われるなど、今やどこでも大流行のDXです。しかしDXとは何でしょう。明確に言える人はなかなか多くありません。
そこで、ITサイバータスクフォースが会員の皆さまと一緒にDXとは何かを学んでいくワークショップを開催します。ぜひ皆さまご参加ください。一緒に考えていきたいと思います。
◆講師・運営:ITサイバータスクフォース
◆定員:50名
◆参加料:無料
◆申込期限 :2023年8月25(金)(ただし、定員になり次第、締切りとさせていただきます。)
お申し込みはコチラです