先日、経産省が主催する「産業サイバーセキュリティ研究会」を拝聴しました。
これは国内の有識者が集まり、サイバーセキュリティに関する意見交換をおこなう場です。
最新の情報を知り現状を俯瞰できる場所で、資料(ここ)を見るだけでも参考になります。
今はウクライナ情勢もあり、サイバーセキュリティは最重要課題となっているとのことでした。その場で挙げられた内容は多々ありますが、その中でも中小企業のセキュリティについて、真剣な議論がなされていました。
その中でも印象に残ったのは、サイバーセキュリティでは最弱リンク(Weakest Link)で全体のセキュリティレベルが決まるというお話し。3月にはトヨタの関連会社(の子会社)に端を発したサイバー攻撃により、トヨタ本体の製造もストップしました。攻撃者はあえて大企業を直接狙わずに、アキレス腱を探し出し最も弱い所から攻撃を行うものです。そのアキレス腱が、セキュリティの意識も低く予算もほとんど使わない(中小組織の過去3年のセキュリティ投資がゼロが3割だとか)中小企業との事です。

また意見として、このような中小のセキュリティの認識を高めるには、現状の自己診断によるセキュリティアクションではセキュリティレベルが十分ではなく、ISO 27001のような外部認証制度を設けるべきといった声もありました。
確かにそうです。しかしながらISO 27001の取得にはセキュリティ予算をはるかに上回る費用がかかり、審査対象の場所も限定的です。
私は、それよりは現状のセキュリティアクションを強化する方向があるのではないかと思いました。現状のセキュリティアクションは自己診断で、チェックリストに答えれば審査合格に相当する星(一つ星とか二つ星)が取得でき、色々なIT投資やセキュリティ投資への補助金がもらえます。そしてそこでセキュリティ対応が止まってしまいます。つまり、チェックリストにバツがいくつついていてもセキュリティアクションのチェックリストを「確認」すれば良いわけで、それを改善するという動きには繋がりません。またチェックも、組織全体で対応できているのか、チェックを行ったごく一部が対応しているのか(例えばソフトウエアを更新するのは個人か全者かなど)の確認もありません。

弊社のお客様でもセキュリティアクション2つ星を取得していただいた企業様もありますが、弊社では、それを元にリスク分析を行い、段階を踏んでセキュリティを強化していきましょう、バツ印を減らしていきましょう、というお手伝いをさせていただいています。
最弱リンクをもれなく埋めてセキュリティレベルを高める事により、大企業や外部のお客様からの信頼や安心を得ることが可能です。

以前聞いたことがあるのですが、日本有数のペネトレーションテスト(セキュリティの侵入テスト)を行う会社のペンテスター(テスト実施者)がっかりするのは、ほとんどのペネトレーションテストを受ける企業で、入り口にデフォルトのパスワードを使っている、との話でした。結局高度なセキュリティソリューションを導入しても、きちんと理解して的確に運用しなければほとんど意味はありません。弊社ではまず、その足元の固め方からのお手伝いをさせていただいています。
中小企業でも予算をあまりかけずに基本を固める事がまずは必要です。セキュリティソリューションのほとんどはごく一部のサイバー攻撃のリスクを低減する事しかできません。銀の弾(Silver Bullet)はありません。
ではどうしたら良いのか、それはケース・バイ・ケースです。
ぜひ弊社と一緒に進めていきましょう。