プラクティス・ナビ
プラクティス・ナビ

プラクティス6-3 ステークホルダーの信頼を高めるための、サイバーセキュリティ関連情報発信の工夫

 従業員数100名規模のバイオ系スタートアップ企業であるO社は、ポストコロナ時代の成長期待企業として投資家からの注目が集まっている反面、同社の企業秘密を狙うサイバー攻撃による企業価値の毀損を恐れる投資家から、サイバーセキュリティ対策の強化を求められている。投資家が自社のどのような状況を不安に考えているかを認識し、その不安を解消するためにどのような情報提供をすべきなのか、O社のCISOは専門家のアドバイスを受けつつ、広報室のメンバーとともに検討することとした。

O社の実践のステップ

O社のCISOが実践したステップは下記3点である。

  1. 投資家が懸念するリスクを洗い出し、伝えるべきリスクへの対策手段との組合せを整理した。
  2. 対外的に公表する自社のセキュリティ対応体制と、説明時に留意すべき内容のアピールポイントについて、経営層及び広報室と協議し、下表の内容について了解を得た。
  3. ①と②の組合せをもとに、投資家向け資料におけるオペレーショナルリスクに相当する内容として、サイバーセキュリティリスクへの対応体制と対策方針に関する内容をとりまとめ、公表した。

O社の実践内容

 O社のCISOが情報発信において留意した内容は次の通りである。

  • スタートアップである自社は若手研究者のイノベーションの尊重を謳っており、投資家からセキュリティ対策が甘くなりがちではと懸念されている。一方で対策を細かく公表すると、外部攻撃者に攻撃のヒントを与えることになりかねない。
  • そこで投資家向け公表にあたっては、「研究者が意識せずに適切な情報管理を行える仕組みの整備(例:営業秘密へのアクセスに多要素認証を要求、サーバ上では自動的に暗号化された状態で管理等)」と「攻撃の予兆を素早く防御に反映できる」ことの2点をアピールすることで、投資家の信頼感醸成と攻撃への牽制の両面の効果を得ることに努めている。

表1 投資家が懸念するリスクとその対策方針例

主なリスク左記リスクに対する対策方針
システム管理の不備による不正侵入
  • 多層防御により、1つの脆弱性で攻撃が成功しない環境を構築
  • 外部協業用環境を、内部の情報管理基盤と分離して運用
研究者の操作ミスによる情報漏えい
  • 自社の営業秘密はすべて自動で暗号化される記録装置にて管理
  • 外部に情報を送る操作を行う際に、2段階確認プロセスを導入
研究者の内部不正による不正持出
  • IRM(Information Rights Management)を用いた機密情報の個別トレースの実施
  • 重要情報へのアクセスを対象とするリアルタイム監視の実施

TOP