サイバー脅威の危険性が今ほど身近な時代はありません。有名企業はブランド棄損に直結する風評被害、金銭的ダメージの両方をにらんでいます。サイバーセキュリティはもはやIT部門が解決すべき事案ではない、ということです。企業全体に関わる、そう、経営層にまで響く事案になってきたのです。

まず最初に経営層がこのことに関わることを理解することが大切です。興味深いことに、FBI長官のRobert S Mullerは、2012年のサイバーセキュリティ会議で「企業には2つのタイプしかない。ハッキングされたか、これからハッキングされるかの2タイプ。仮に1つにまとめたとして、どちらもハッキングされたか、れるかだけだ。

経営レベルでのサイバー脅威対策

しかし、それは希望もない見解という意味ではありません。経営レベルでは、サイバーセキュリティは事業継続に欠かせない、事前対策としてのリスク最小化でもあります。まず、リスクの特定と管理。そのためには、組織の最高責任者が組織全体の環境を見、サイバー脅威の特別のリスクを可視化させることです。

さらに読む:サイバーセキュリティ-経営レベルでの議論されるべき課題

脅威の要因のいくつかか、企業に共通しています。以下の通りです。

  • ランサムウェア:組織のシステムをコントロールし、復旧に支払いを要求する悪意あるプログラム
  • フィッシングリンク:特別な情報を提供すると言って、不用意な社員を誘導する、一見公式サイト風なリンク
  • パッチのあたっていないソフトウェア:ハッカーはシステムにアクセスできる未パッチのソフトウェアのセキュリティ脆弱性をついてきます。
  • 弱いパスワード:弱いパスワードは悪意ある個人にとって、システム侵入とデータ抜き取りを容易にします

上記は企業規模に関わらず今時点で考えられる脅威の要因リストです。しかし、経営レベルでは企業は企業全体に関わるポリシーを作って脅威に対抗するプランを作る必要があります。このようなポリシーを作ることで、経営幹部はまずキーとなる情報と脆弱性の棚卸に手をつけることができます。

機密データやほかのキーとなる情報についての詳細は以下の通りです。次のステップは脅威に立ち向かう組織を手助けするサイバーセキュリティポリシーを確定させることです。ポリシーの厳密な性質上どんな組織もカバーするベーシックなポリシーを議論することが大切です。

  1. ポリシーの適用

    このポリシーは社員に異なった許可を与える権限となります。オンラインブラウジング、ダウンロード、添付の使用などのトピック扱います。このポリシーに基づいて社員はモニターされ、理由のない使用も許可されません。

  2. リモート利用時ポリシー:

    このポリシーは、社員に利便性を提供するリモートワークに対する企業の立場を明確化できますが、セキュリティリスクも内包しています。このポリシーは社員が業務を個人デバイスで遂行でき、事前の注意事項についての概要になります。

  3. 社員教育ポリシー:

    このポリシーは、社員が異なったサイバーセキュリティに関するトレーニングを受講する手順を規定しています。これは企業レベルでの脅威認識に役立ちます。

    経営レベルで取られる決定をもとに、組織はSeqriteEPSのようなセキュリティソリューションの導入を検討するべきです。EPSはアドバンスドデバイスコントロール、アプリケーションコントロール、webフィルタリング、アセットマネージメントなどの機能を利用してあまたの脅威に対する保護レイヤーを追加できます。