• 1000
Article Posted date 01 November 2024

本連載は、週刊 金融財政事情(2024年4月~5月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。

サイバー防御策の形骸化を防ぐために

サイバー攻撃によるシステム停止や機密情報の漏洩、脆弱性を突かれたシステムの改ざん等の被害が世界中で増加しています。このような状況下、業界を問わず企業や組織はさまざまなサイバー防御策を講じています。果たして、それらの施策は実際にサイバー攻撃を受けた際、期待されたとおりの効果を発揮するでしょうか。

そこで、サイバー攻撃の被害を受けた後に回復する能力「サイバーレジリエンス」の重要性が高まっています。金融庁も「未然防止策だけではなくインシデント発生時の早期復旧や影響範囲の軽減を担保することが重要」というメッセージを発しています。

自社のサイバー防御策は最新の攻撃手法に対応しているのか、サイバー攻撃を受けた場合に迅速に気付ける態勢になっているのか、保有資産のどこが狙われているのかを把握する仕組みが構築できているのか。サイバー攻撃が日進月歩で進化するなか、こうした点を確認し、サイバー防御策やセキュリティ施策等の取組みを形骸化させないことも、サイバーレジリエンスの実現において重要となります。

サイバー防御策の実効性を評価する手法

施策の形骸化を防ぎ、求められる能力を有しているかを評価する方法の1つに「インシデント対応訓練」があります。ただし、インシデント対応訓練で考慮すべきカバー範囲は広いため、いきなり全社規模で実施するのは、業務への影響や準備に係るコストを考えると現実的ではありません。自社の状況を確認しながら、段階的に理解を深め、環境を整備し、練度を高めていくことが望ましいでしょう。

また、円滑に訓練を進めるためには、事前準備も重要になります。関連資料などが十分にそろっていない状態で訓練を実施しても、つど、どのように対応すべきか、それに対応するために何が必要なのか、後続の対応にどのようにつながるのかといったことをその場で検討することになり、狙った成果が得られません。訓練を実施できる状態になっているかどうかの見直しも、サイバー攻撃に備えられているかの評価につながります。

インシデント対応訓練を検討する際は、以下図表に示すレベル(1)から(5)のステップで進めることを推奨します。

【インシデント対応訓練の段階的アプローチ】

金融機関に求められるサイバーレジリエンスの備え_図表1

出典:KPMG作成

まず、(1)セミナー形式で基本的な対応の手順や関係者の役割を確認し、(2)ワークショップ形式で設定したテーマに必要な対応を議論します。さらに、(3)インシデントの発生から対応の収束までを定義したウォークスルー形式でのインシデント対応を確認した上で、(4)危機に際して各担当者が役割に応じて能動的に行動できるかを測るシミュレーション形式へと訓練の難度を上げながら練度を高めていきます。最終的には、(5)実機を用いたより実践的な訓練を実施します。

基本的な対処手順に沿った行動を学習する演習から、実践的な意思決定を伴う訓練へと、自社の状況に合わせた訓練を段階的に実施します。そうすることで、インシデント対応能力を高め、サイバーレジリエンスの強化につなげていきます。

冷静に振る舞う心構えも重要

上述の訓練で言及している手順やプロセスは、「テクニカルスキル」と呼ばれるものです。インシデント対応においてテクニカルスキルは重要ではありますが、緊迫した状況下での対応能力を評価する面では、これだけでは足りません。実際のインシデント対応では経営層による意思決定が求められます。そのときに必要なのが、「ノンテクニカルスキル」と呼ばれるものとなります。

ノンテクニカルスキルは、医療現場や航空・宇宙業界などで、きわめてクリティカルな障害・インシデントが発生した際に迅速かつ円滑、冷静に対処するために必要とされる社会的スキルを指します。緊迫した状況下における意思決定には、このスキルが重要になります。

ノンテクニカルスキルには4つの要素が含まれます。1つ目が多角的な視点を考慮した情報収集、得られた情報の適切な理解、対応経過への把握といった「状況認識」。2つ目が、得られた情報を基に選択肢を定め、最悪のケースも想定した適切な判断を下し、それを関係者に示す「意思決定」。3つ目が、関係者間での相互協力や情報の共有を促し、適切な対応の遂行を促進させる「コミュニケーション・チームワーク」。4つ目が適切な人員配置やタイムマネジメントを行い、対応を先導する「リーダーシップ」。これらがインシデント対応の場で適切に発揮されているかどうかということも、訓練では評価します。

意思決定を迅速に行うためには、正しい情報が適切なタイミングで報告され、対応を議論できる環境が必要です。健全な組織運営には、手順やプロセスが整えられているかというテクニカル面だけではなく、報告を受け、それを適切に処理し、問題解決に向けた指揮・統制をどのように執るかというノンテクニカル面も重要となります。

サイバーレジリエンスを実現するためには、ドキュメントや実施態勢の準備だけではなく、危機に直面した際に冷静に振る舞うための心構えも重要になってきます。

週刊 金融財政事情 2024年5月21日掲載(一部加筆・修正しています)。この記事の掲載については、一般社団法人金融財政事情研究会の許諾を得ています。無断での複写・転載は禁じます。

執筆者

パートナー 薩摩 貴人
マネジャー 添田 勝真

金融分野のサイバーセキュリティ最前線

    お問合せ

    サイバーセキュリティ主要課題2024:金融機関編
    サイバーセキュリティ主要課題2024:金融機関編

    金融分野におけるサイバーセキュリティに関する課題と、不確実の時代、創造的改革を受け入れ課題に対処するための施策を考察します。

    デジタルオペレーショナルレジリエンス法(DORA)
    デジタルオペレーショナルレジリエンス法(DORA)

    レジリエントな未来に向けた強固なデジタルインフラの構築を目的とした、EUの規制であるDORAについて解説します。

    ネットワークに結ばれた地球
    サイバーセキュリティ

    多様化するサイバー攻撃に対し、防御から復旧までサイバーセキュリティ対策をトータルに支援し、内部と外部双方の脅威に備えます。

    金融

    金融

    金融

    「攻め」と「守り」の両面から金融分野におけるあらゆる変革を支援します。

    KPMGコンサルティング

    KPMGコンサルティング

    KPMGコンサルティング

    リスクとチャンスを同時に見つめ、企業の持続的成長を実現するために