サイバーセキュリティ対策をする必要があることは、誰しも認めるところだと思いますが、具体的に、何がどうだから、どのような対策を求められているのかを知らないと、見当はずれな対策となってしまいます。
効率よく対策を考えるためには、政府の中で情報セキュリティ、ICT関連の政策を取り扱っているところの情報を収集します。
その分野の第一人者が招集され、現状分析や、必要なガイドラインを提案してくれています。
私が今、一番注目しているのは、経済産業省にある「産業サイバーセキュリティ研究会」です。
第一回が2017年12月27日に開催され、ワーキンググループも順に開催されています。
経済産業省は、これらの会議の議事要旨や配布資料を公開しています。
例えば、第一回の配布資料のうち、事務局が作成したものには、昨今話題になったテーマがわかりやすくまとめられています。
例えば
- ランサムウェア
- IoT機器の乗っ取り
- 重要インフラへのサイバー攻撃による停電
これらは、自分自身が対策の必要性を整理すると同時に、社内で説明する際にもとても役立ちます。
自分ではここまでの現状分析は、到底できませんからね。利用しない手はありません。
この資料により、サプライチェーン対策の必要性が気になりました。
自社だけで事業を行っている企業はほとんどありません。十分な対策をしていなければ、取引停止の判断材料となってしまう恐れがあるということです。
一刻も早く、最低ラインを満たした対策をしなければ存続の危機となるということです。
セキュリティ対策のできていない取引先を先に攻撃して、そこを入口としてターゲットの企業に近づく手口もあります。
自分のところには狙われる情報なんて何もない、なんてことは言い訳になりません。
ひとたび、情報セキュリティがらみの事件・事故が発生した際には、公表され、信用回復できるかどうかと考えると恐ろしいです。
この研究会の最終結論が待たれるところですが、2018年12月までに各産業のガイドラインが作成されるスケジュールとなっています。
待っていられませんから、すでに公開されている他のガイドラインを参考に、一日も早く優先度の高い対策から導入して土台を構築する必要があります。