​Column Back number

■保険システムよもやまばなし 


第7回:「システムとセキュリティ(5)」

西日本及び東海地方を襲った記録的な豪雨:「平成30年7月豪雨」により、犠牲となられた方々のご冥福を心よりお祈り申し上げますとともに,被災された皆様にお見舞い申し上げます。被災された方々への救援が一刻も早く進みますことを心よりお祈り申し上げます。

 最近、「未曽有」とか、「数十年に一度」という言葉を良く耳にするようになった感じがします。時代の流れの中で、このような事態を想定しておく必要が生じているのかもしれません。セキュリティの世界でも、同じようなことが生じています。
それが、サイバーセキュリティ! 以前は、遠い世界のような話でしたが、最近では、テレビのニュースでも随分取り上げられるようになって来ています。「未曽有」とか、「数十年に一度」と言うより、新たな脅威として認識・対応していく必要があるリスクになって来ています。
情報セキュリティの普及啓発活動を行っている独立行政法人:情報処理推進機構(IPA)では、毎年「情報セキュリティ10大脅威」を発表しています。本年も既に発表されていますが、トップ3は、「標的型攻撃」、「ランサムウェア」、「ビジネスメール詐欺」、10大脅威のうち9つの脅威がサイバー関連です。 
ご参考 ⇒ https://www.ipa.go.jp/security/vuln/10threats2018.html

 従来のセキュリティに係る脅威は、従業員・システム担当者・外部委託先従業員の不正による情報窃取等「内部犯行」によるものでしたが、それが、「標的型攻撃・マルウェア感染」、「サーバー攻撃や大量送信攻撃等」による情報窃取やシステム停止と、全く新たな時代、世界になって来ています。攻撃はネットを通じて世界中から行われており、このリスクを完全に排除することはなかなか難しい状況にあるようです。留意すべき点は、自社の情報窃取やシステム停止だけではなく、サイバー攻撃の加担者になってしまう恐れがあることです。そのため、サイバーセキュリティに係るリスクは、【情報漏えいリスク】、【事業継続リスク】、【風評・信用失墜リスク】であることを認識し、経営リスク・システムリスクとして対応していくことが求められます。
具体的には、次のような体制の整備・構築、そしてシステム的対応を会社として行なう必要があります。

■体制
・サイバー攻撃に備えた体制   ・コンティンジェンシープラン策定
・サイバー攻撃対策策定と見直し ・外部委託先管理へのサイバーセキュリティ考慮
■システム的対応
・脆弱性についての対策     ・外部からの不正侵入防止
・サイバー攻撃の被害拡大防止  ・第三者による脆弱性診断、侵入検査

 システム的対応を行う対象は、サーバーや社員に設置しているPC等によって変わってきます。また、インタネットに接しているシステムか否かによってセキュリティ強度の設定の仕方も変わってきます。セキュリティを高めて行けば行くほど、使い勝手への制約やコストへの影響が生じてきます。リスクを十分見極めながら、会社としてどこまで行っていくのか明らかにしていくことが重要です。そうは言っても、どこまで何を行うべきかを個社で決めていくことは極めて難しいと思います。多くの会社が悩んでいる点でもあると思います。是非、インタネット等で社会動向や同業他社状況、また関連官庁動向等確認し、取組が遅れないようにして頂ければと思います。今後も、このメルマガを通じてセキュリティ動向等お伝えしていければと思っています。

 まずは、次のような基本的なことが行われていることを確認し、また、自社の対策がどこまで行われているのか自己診断することをお勧めします。
 【確実に行われるべきこと】
  ・OSやソフトウェアは最新の状態になっているか
  ・ウイルス対策ソフトを適切に利用しているか
  ・身に覚えのない電子メールは疑っているか
  ・バックアップを行っているか
 【自社がどのレベルにあるのか自己診断】
  ・5分でできる自社診断シート (IPA)
        https://security-shien.ipa.go.jp/learning/

 保険システムよもやまばなしでは、これまで、「システムとセキュリティ」をテーマに、「1.環境を知る」、「2.自分を知る」、「3.守る」、「4.確認・評価」について、お伝えし、最後に、「サイバーセキュリティ」に焦点を当てて、求められる取組・対策についてお伝えしました。次のテーマは「システムの寿命」についてお伝えしていきたいと思います。

K System Planning
島田洋之