指示4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示内容
事業に用いるデジタル環境、サービス及び情報を特定させ、それらに対するサイバー攻撃(過失や内部不正を含む)の脅威や影響度から、自組織や自ら提供する製品・サービスにおけるサイバーセキュリティリスクを識別させる。
サイバー保険の活用や守るべき情報やデジタル基盤の保護に関する専門ベンダへの委託を含めたリスク対応計画を策定させ、対応後の残留リスクを識別させる。
実践に向けたファーストステップ
サイバー攻撃は、情報の窃取だけでなく、システムの改変や停止等正常な運用を妨害するものもあるため、経営戦略の観点から守るべき情報やシステムを特定し、サイバーセキュリティリスクに対応することが望まれる。そのため、実践する上でのファーストステップとしては、下記3点が考えられる。
- 経営層や事業部門との討議を通じ、自社の事業において重要な情報やシステムを 特定する
- 特定したシステムに対して起こりうるサイバー攻撃を洗い出し、攻撃による被害発生の予想頻度(被害発生可能性)と、事故が生じた場合の影響の大きさ(重要度)を分析し、サイバーセキュリティリスクを把握する
- そのうえで、優先度を設けて対応を講じる
想定される企業の状況
指示4の実践に向けては下記のような状況や課題が想定されるため、本節ではそれらに対応した企業の事例をプラクティスとして紹介する。
- 最初から、自社が保有する情報やシステムを洗い出して可視化することは困難である一方で、サイバー攻撃の脅威に早急に対応を講じる必要がある
- サイバーセキュリティ経営ガイドラインの指示事項について、どこまで実践できているかを把握したい
指示内容に関する参考情報~サイバー保険~
個人情報漏えい保険がその名の通り個人情報の漏えいを伴うインシデントによって生じた企業における損害等を補償するための保険であるのに対し、サイバー保険は情報漏えいに限らず、以下の内容を補償対象としている点に特徴がある。
- 損害賠償責任(損害賠償費用、争訟費用等)
- 事故対応費用(事故原因調査、コールセンター設置、記者会見、見舞金の支払、法律相談、再発防止策の策定等)
- 利益損害・営業継続費用(喪失利益、収益減少防止費用等)
さらに、現在のサイバー保険の中には、金銭的な補償のみならず、サイバーセキュリティインシデントに対してどのように対処すればよいかわからない企業を対象とする相談サービス(アドバイザリ-、コールセンター、サポートデスク等)を提供しているものもある。具体的な内容はサイバー保険の提供事業者によって異なるが、そのサービス内容の例を次表に示す。
表1 サイバー保険により金銭的補償以外に提供される相談サービスの例
| インシデント対応の流れ | 相談サービスの例 | |
|---|---|---|
| 分類 | 必要となる作業の例 | |
| ① 検知 | 被害状況の把握、 証拠保全 |
|
| ② 報告 | 関係機関への報告 |
|
| ③ 封じ込め | 被害拡大の防止、 原因の調査 |
|
| ④ 復旧 | 事業の再開 |
|