2024年 8月20日公開

トラブル解決! 情シスの現場

一人情シスでも対応できるサイバーセキュリティ演習の実施方法

著者:金指 歩(かなさし あゆみ)

サイバー攻撃の脅威が年々高まり、中堅・中小企業でもサイバーセキュリティ対策が必要不可欠になっています。その一環で、ある日突然「サイバーセキュリティ演習を実施しよう!」と言われたら、情シスはどう対応すればよいのでしょうか?

この記事では、サイバーセキュリティ演習が重要な理由や、一人情シスでも実施可能な演習の方法、その後に行いたいサイバーセキュリティ対策の見直しについて解説します。ぜひ実務の参考にしてください。

中堅・中小企業でもサイバーセキュリティ演習が必要な理由

サイバーセキュリティ演習の重要性は年々高まるばかりです。まずは、中堅・中小企業でもサイバーセキュリティ演習が必要となる理由を解説します。

サイバー攻撃が多様化、深刻化しているから

サイバー攻撃の手段はますます多様化し、その被害は深刻になる一方です。総務省の資料によると、近年のサイバー攻撃の件数は2015年頃から増加傾向で、2020年以降は特に激しさを増しています。2022年に観測されたサイバー攻撃関連の通信数から計算すると、各IPアドレスに対して17秒に1回という高頻度で攻撃目的の通信が行われていました。

出典:総務省「情報通信白書 令和5年版『サイバーセキュリティ上の脅威の増大』」より、NICTERにおけるサイバー攻撃関連の通信数の推移

サイバー攻撃の手法も多様化しています。近年目立っているのは、企業から重要なデータを盗み、その身代金を要求する「ランサムウェア攻撃」や、システムやITツールの脆弱性を突く「ゼロデイ攻撃」などです。また、公共施設などを狙った社会インフラへの攻撃も見受けられます。

こうしたサイバー攻撃の激化や多様化に対応できていないと、中堅・中小企業でも攻撃の標的となって被害を受ける危険性があるのです。

サプライチェーン攻撃などで、他社に迷惑をかける可能性があるから

ニュースで定期的に報道されている「サプライチェーン攻撃による被害」も無視できません。サプライチェーン攻撃とは、親会社やグループ会社、取引先などの業務上のつながりを悪用し、セキュリティの隙を突いて攻撃する手法です。

例えば、取引先になりすましたメールがあなた宛てに名指しで届き、それに対応したことが発端となってウイルスに感染し、自社だけでなく親会社や取引先にも被害が及ぶ、などのケースが考えられます。

こうしたサプライチェーン攻撃はとても巧妙で見破りにくいとも言われています。もし自社を窓口にして攻撃されると、他社への補償が必要になることもあり、金銭的・社会的に大きな損失を被る可能性が高いのです。

「サイバー攻撃を受けてからの対応」も知っておく必要があるから

近年のサイバー攻撃はとても巧妙で、完全に防ぐのが難しいケースも多々あります。そのため最近では、サイバー攻撃を受けると仮定して「いかに被害を最小限に食い止めるか」「サイバー攻撃を受けた後にどう対処するか」という課題に本腰を入れる傾向が見られます。

よって情シスも、サイバー攻撃を防ぐ手段だけでなく、攻撃された後の対応方法を熟知しておく必要があるでしょう。

一人情シスでもできる! サイバーセキュリティ演習の実施方法

一人情シスがサイバーセキュリティ演習を検討し実施する際は、どのように行えばよいのでしょうか。その流れを説明します。

1. 利用する外部機関を決める

今必要なサイバーセキュリティ演習を一人情シスが自分だけで検討し、実施するのは難易度が高いと言えます。そのため、原則としては外部の研修機関やeラーニングを利用するのが現実的です。

近年は多様なサイバー攻撃に対応できるよう、さまざまな研修が実施されています。自社のニーズや取り組みの本気度、予算などに応じて、無理のない研修から取り組むのがおすすめです。研修の難易度も、初心者向けからプロ向けまで段階的に用意されています。実現可能性の高い選択肢を見つけましょう。

2. 少人数でサイバーセキュリティ研修を受ける

受講するサイバーセキュリティ研修を決めたら、まずは少人数で研修を受けます。人数を絞る理由は、研修にかけるコストを限定するため、そして研修内容や効果を確認するためです。

まずは、一人情シスや情報関連部門のメンバー、役員などが受講し、内容が良かった場合には、段階的に複数のメンバーが受講していくとよいでしょう。なお、オンライン完結の研修だと場所を問わず受講でき、予算が少なくても受けやすいので便利です。

3. 本格的なサイバーセキュリティ演習を経験する

社内でサイバー攻撃に関する知識をある程度蓄積できたら、より本格的なサイバーセキュリティ演習を検討しましょう。具体的には、再び外部機関を利用し、オフラインでの実践的な研修を利用するのが一般的です。

こうした実践的な研修では専門的な内容を扱うため、情シスや情報関連部門のメンバーなど、日頃から社内の情報システムに触れているメンバーが受講しましょう。

4. 社内で実践的なサイバーセキュリティ演習を実施する

実践的な研修から持ち帰った経験やノウハウを元に、いよいよ社内でサイバーセキュリティ演習を実施します。演習を形だけで終わらせないためには、攻撃に具体性を持たせるのがポイントです。例えば、組織名や関連会社名などは実在の名称を使用し、実在するマルウェアやDDoS攻撃を想定するなど、なるべくリアリティを持たせた演習を行いましょう。

なお、この演習を社内で計画するのはある程度の工数や知識が必要となるため、予算が許すのであれば外部機関に委託して実施するとよいでしょう。

演習後には、社内のサイバーセキュリティ対策を見直す

こうした流れで研修の受講から演習まで終わらせた後には、社内のサイバーセキュリティ対策が十分かどうかを見直すのが重要です。サイバーセキュリティに必要な対策は、主に以下の三つに分けて検討します。

技術的な対策

まずは社内システムやITツールなどのセキュリティレベルを高めていきます。例えば、二段階認証の設定や、アクセス制御システムの導入、データの暗号化などです。ファイアウォールやセキュリティソフトウェアをすでに導入している企業が多いと思いますが、その機能や内容で十分なのかを確認し、必要に応じて別のソフトに入れ替えるとよいでしょう。

物理的な対策

社内の情報管理・運用体制を見直し、物理的なセキュリティレベルを上げることも検討します。例えば、サーバールームの入退室管理や施錠管理をより厳重にしたり、管理カメラの設置や警備員を配置したりすることが考えられます。

一方で、やみくもにセキュリティレベルを上げると、大きなコストがかかり、業務上の負担が増大することがあるため、厳重に守るべき対象を明確にしておくのがポイントです。

以下を参考に対策カテゴリーを分け、それぞれの最適化を検討するとよいでしょう。

人的な対策

最後に、IT機器やデータを扱う部門のメンバーなどのセキュリティ意識を高めていきます。「私物のUSBメモリーを持ち込まない」など、ごく基本的なセキュリティルールの再確認や、サイバー攻撃後の初動対応のマニュアル化などが検討できます。

また、企業としてサイバーセキュリティ研修の受講を継続し、必要なセキュリティ知識を“社内の資産”として蓄積していくことも大事です。

まとめ

サイバー攻撃の脅威が年々高まる中では、サイバーセキュリティ研修や演習を実施し、そのセキュリティレベルを高めておくことが大切です。一人情シスが全てを検討、実施することは難しいため、外部の研修やeラーニングなどを活用し、無理のない範囲から実施するとよいでしょう。

著者紹介:金指 歩

ライター・編集者。新卒で信託銀行に入社し営業担当者として勤務したのち、不動産会社や証券会社、ITベンチャーを経て独立。金融やビジネス、人材系の取材記事やコラム記事を制作している。

関連情報