【激化するサイバー攻撃と高騰する復旧費用】平時からのリスク管理、後れを取らないためのセキュリティポリシー策定とは?

システム

2025年07月16日(水)掲載

キーワード:

DXの推進が企業の必須戦略となった今、サイバー攻撃の増加や被害の深刻化はすべての企業に共通の悩みとなっています。特に子会社、海外現地法人を持つ企業では、各拠点のセキュリティレベルにばらつきが生じやすく、組織全体の弱点となりがちです。サイバー攻撃に対する警戒感も社内で温度差が出やすく、セキュリティ対策を「コスト負担」としてとらえる経営層もいるでしょう。

この複雑化するサイバーセキュリティの課題を解決するには、どのような視点が必要なのでしょうか。サイバーセキュリティ対策に豊富な知見をお持ちで、「HiPro Biz」にプロ人材登録をいただいている阿部実洋氏にお話を伺います。

本コラムでは、企業におけるサイバーセキュリティの現状と課題を示し、セキュリティポリシーの再構築へと導きます。サイバーセキュリティの重要性を全社的な共通認識とするために、どんなステップを踏めばいいのか。具体的なポイントを解説していきます。

セキュリティインシデントの増加と被害状況


サイバー攻撃の被害は急増、調査・復旧が高額化するなど被害の深刻化も顕著

サイバー空間における脅威の情勢は、業種や企業規模を問わず、深刻な状況が継続しています。特に、インシデント発生による被害の深刻さや影響が増している点については、注意が必要です。

たとえば、警察庁レポート(※1)によると2024年に都道府県警察から警察庁に報告されたランサムウェア被害組織において、調査・復旧に「1,000万円以上」の費用を要した組織の割合は、2023年の37%から50%に増加しています。また、調査・復旧に「1か月以上」を要した組織も、2023年の44%から2024年には49%に増加しており、ランサムウェア被害による事業影響が長期化している傾向が確認できます。


※1 出典:『令和6年におけるサイバー空間をめぐる脅威の情勢等について』(警察庁サイバー警察局)

サイバー攻撃の手法は多様化し、一段上のステージに

近年、サイバー攻撃の手法は一層巧妙化し、多様化が進んでいます。この背景にあるのは、企業や個人が活用する各種インフラそのものの多様化です。これは、攻撃側から見ると、攻撃の対象が格段に広がることを意味します。

従来のサイバー攻撃の対象はサーバ、PC、ネットワーク機器、モバイル端末などのデバイスが中心であり、比較的その攻撃の対象は限定的でした。しかし、この数年はクラウド・IoT機器・サプライチェーン、さらにアイデンティティ(ユーザー)まで攻撃対象が大幅に拡大しています。

AI技術の急速な発展も、サイバー攻撃手法の多様化に影響を与えています。AIを悪用することで新たな攻撃手法が生み出されるリスクは確実に存在しており、すでに現実化しています。また、生成AIの技術はフィッシングメールの文面生成などさまざまな犯罪に利用されています。従来の犯罪とは質も量も異なってきて、サイバー攻撃は新たなステージに進んだと言えるでしょう。

サイバー攻撃と経営インパクト

企業におけるセキュリティ対策の格差はなぜ起きるのか

サイバー攻撃は上場・非上場、企業規模を問わず、どのような企業にとっても大きな脅威となります。こうした現状がありながら、各企業のセキュリティ対策を比較すると、確実に格差が生じています。その格差の背景には経営層の「セキュリティ意識」の差があります。また、セキュリティリスクアセスメントなどを通じて、セキュリティリスクが具体化・顕在化されているか否かも関係しています。実際、インシデントが発生して初めて対策の必要性を認識することもよくあります。インシデントの発生により、従来から存在するセキュリティリスクが誰の目にも明らかになったのです。

セキュリティインシデントは決して対岸の火事ではありません。他の会社・組織で発生したことは、自社でも発生し得るものです。インシデントは必ず発生するものだという前提に立つ必要があります。その上で、被害をいかに最小限に抑えるかが、考えるべき重要ポイントです。あらゆる組織のトップが、この基本的な考え方を理解することからセキュリティ対策は始まります。


インシデント発生時の初動はなぜ遅れるのか、重大性認識の乖離

セキュリティ対策支援の経験から述べると、大手企業におけるインシデントは、ヒヤリハットも含めて年に数件が発生し、実際に被害が出る例も1~2件は必ず起こっていると考えられます。

インシデント発生時には、初動対応の差が復旧までの時間や被害の大きさに影響しますが、重大性の認識の違いによって初動が遅れる場合も多々あります。サイバーセキュリティ専門家は、不正アクセスの事実が確認された段階で、その重大性を認識しますが、多くの場合は実際に情報漏洩等の実害が確認できて初めて深刻さに気づく傾向があります。

たとえば、VPN機器の脆弱性が確認され、アクセス元のIPアドレスから明らかに不正アクセスを行っている痕跡を発見する場合があります。セキュリティ対策の原則から言えばすぐにVPN機能を停止させる対応が必要だと判断できますが、痕跡やログだけでは、緊急性を要すると理解されないことは珍しくありません。

インシデントに対する初動対応の重要性は非常に高く、軽微なものであっても、詳細な調査を必要とします。目に見える形で実害が出てから動くのではなく、前段階で迅速に対応するのがセキュリティ対策です。実害事実が確認できてからでは遅いことは、繰り返しお伝えしたい重要事です。


サプライチェーン、子会社、海外現地法人などにおけるセキュリティ対策

サプライチェーンのサイバーセキュリティリスクが深刻化する中、大手グループ企業におけるセキュリティガバナンスの強化も喫緊の課題の一つです。特に、国内子会社に対しては、親会社がセキュリティ対策を支援する一方で、海外については現地法人任せになっている例が数多く見受けられます。

「現地法人任せ」には当然ながら問題があり、多くの企業ではITスタッフがいないなどの理由から、現地の対策状況やリスクが把握できていないこともあります。その結果、最低限のセキュリティ対策も実施できず、インシデントが発生して初めて対処に追われることになってしまいます。

ネットワーク的に海外と国内本社を接続させている場合には、海外の子会社を進入口として、最終的に本社の方にサイバー攻撃が広がるケースも考えられます。海外現地法人の問題だけで収束できるという結果にはなりません。また、被害状況が報道されるときは、親会社の名前で報じられて影響を被ることもよく見受けられます。グループ全体を統括できるセキュリティポリシーの必要性はますます高まっています。

不安を解消するための実践的アプローチ

なぜ「戦略的」セキュリティポリシーが重要なのか

インシデント発生による被害の深刻さや影響が増しているという現状や、インシデント発生による金銭的損失、風評、法的責任を鑑みたとき、インシデントが発生してから動く後手の対処はまったく推奨できません。経営において、3ヶ年計画、5ヶ年計画と短期的、中長期的な戦略を立てるのと同じく、セキュリティ対策においても戦略的に計画を立てて意思決定していくことが重要です。

既存のセキュリティポリシーでは、昨今のクラウド利用の拡大やAIのような最新のテクノロジー、技術利用に伴う脅威に適用していけません。1年に1度は内容を分析し、不備を修正していくことをプロセス化し、セキュリティポリシーに含める必要があります。さらにポリシーを全社的に定着させる地道な作業を継続することで初めてその効果が発揮されます。


戦略的セキュリティポリシーを策定、再構築するために社内で必要なことは?

セキュリティポリシーの策定はリスクマネジメントの一環であるため、まず最低限の取り組みとして、企業リスク管理(ERM)との整合は必須です。サイバーセキュリティリスクを企業リスクの一要素として位置付け、財務リスクなど、他の企業リスクと同じ評価軸で管理していくべきだと考えます。

また、セキュリティに対する経営層の認識を「コスト」から「ビジネス・イネーブラー」へと転換できれば理想的です。そのために経営層を巻き込んだ取り組みやプロセスの構築を行う必要があります。その有効な手段の一つがセキュリティ委員会の設置です。セキュリティ委員会が定期的に取締役会でセキュリティ対策について報告することを制度化し、同業他社の事例などを用いて常に危機感を醸成することで経営層を巻き込むことを目指します。


セキュリティポリシーの再評価、再構築する際の人材と必要なステップ

セキュリティポリシーの再評価と再構築はレビューや現状確認の必要性から、原則的に外部コンサルに完全に任せ切ることは難しいと考えます。そのため、内部にもセキュリティポリシー策定に関する一定の知見を有する人材がいることが望まれます。内部人材として適任がいない場合、セキュリティ専門のプロ人材を活用し、自社メンバーの視点で外部コンサルとの橋渡し役を担ってもらう方法が現実的だと言えます。

セキュリティポリシー再評価・再構築のステップ

既存のセキュリティポリシーを再評価し、現在地を把握するためには、おおよそ以下のステップで進めていきます。

  1. 評価を行う主体と計画の検討
  2. 評価スコープの明確化
  3. 既存ポリシー文書の分析
  4. 遵守状況および課題点の分析・評価

特に重要なポイントは、「2.評価スコープの明確化」です。グローバル共通のセキュリティポリシーを策定するのか、あるいは本社・国内子会社に限定するポリシーを策定するのか。対象の選択によって、「3.既存ポリシー文書の分析」以下の作業内容が大きく変わります。「4.遵守状況および課題点の分析・評価」における遵守状況の調査では、大人数を対象にしたアンケート調査で自己申告をする方法もありますが、実態を的確に把握するためには、サンプル対象者へのインタビュー調査も実施したいところです。

セキュリティポリシーの再構築と定着

セキュリティポリシーの再構築については、方法も形式も各社の事情を反映させて千差万別なため、ここではセキュリティの専門家が企業支援を行った事例を一つ紹介します。

国内外に数十のグループ企業を有する化学工業会社からの依頼
業務 グループ共通のセキュリティポリシーを策定し、グループ全体へ展開する。
課題 グループ会社の中でも、研究所、工場など業種がさまざまで、会社規模にも大きな差がある状態。使用言語も異なり、グループ全体で共有するセキュリティポリシーの再構築が困難であった。
方法 インタビューならびに既存のポリシー文書確認を通じて現状分析を行い、改善点を含めて新ポリシーに反映。ベースライン(最低基準)については組織規模やグループ内での重要性、現状のリスクレベルに応じる必要があり、3つのセグメントに分け、セグメント単位で各組織に求める対策基準を設定した。複数あった使用言語は日本語と英語で統一。
成果 約1年かけてベースラインとポリシーを作成。定着化には更に数年を要する見通し。

セキュリティポリシーは再評価・再策定後の定着プロセスが重要でありながら、困難です。 一般にはセキュリティ推進の主幹部署や情報セキュリティ委員会などを中心に定期的な会議、問題点の見直しを継続します。同時に定期的なeラーニングによる理解度チェックなどの教育活動も不可欠です。

海外現地法人については、現地にセキュリティ教育支援が可能なパートナー企業を設置できると、定着が進みやすくなります。現地事情や法体制に即したセキュリティ教育や、現地の言語・商習慣に合わせた標的型メール訓練などは、やはり現地のパートナー企業の方が的確に対応できます。

セキュリティポリシー担当部署としてすぐにできること

最後に、情報システム部やセキュリティ委員会など、サイバー攻撃から自社を守る最前線に立つ皆様に向けて、今すぐ実行していただきたいことをまとめます。

  • 定期的なセキュリティリスクアセスメントの実施による現状分析
  • サイバーリスクシナリオの策定
  • リスク指標の可視化・定量化・分析のためのCISOダッシュボードの構築・運用

これらは、主に経営層に対して積極的に現状を伝えるための施策です。平時からリスク管理を行い、技術革新に後れを取らないセキュリティポリシーを策定し、定着させる必要があります。そのために経営層を巻き込み、セキュリティ対策に対する認識を「コスト」から「イネーブラー」へ転換させることが不可欠です。中でも、具体的な被害数値を含めたリスクシナリオは、経営層への説得材料として有効であり、取り組みやすい部分だと考えます。セキュリティリスクがゼロになることは決してなく、いかに影響範囲を小さくするかの戦いが続きます。

<今回お話を伺ったプロ人材>

(株)セキュアベース 代表 阿部 実洋 氏
サイバーセキュリティの対策領域において、セキュリティコンサルタントとして18年間実務に携わる。現在は独立し、民間大手企業のセキュリティ高度化を支援。情報セキュリティ分野の国際資格CISSP、CISAを保有。

経営支援サービス「HiPro Biz」

関連コラム

ページTOPへ戻る