企業活動にITが欠かせなくなった昨今、サイバー攻撃のリスクは高まっている。前編では、生成AIで巧妙化する攻撃手法や、発生しているリスクを解説した。大企業だけでなく、中小企業も同様に狙われる中、具体的にどのように対策する必要があるのだろうか。後編では、サイバーセキュリティを専門とする星野悠樹氏に、今取り組むべき対策を伺った。
前編はこちら
セキュリティ対策の第一歩は「資産とプロセスの把握」
企業のセキュリティ対策はいったい何から始めればよいのか。星野氏は、まず自社の状況を正確に把握することが重要だと強調する。企業によっては、そもそも自社にどういった情報資産があるのかを適切に把握していない場合も多い。情報資産の洗い出しを行うことで、「自社のシステムのここが攻撃されたら危険だ」ということが明確となる。
また、自社のビジネスプロセスとサプライチェーンの可視化を行うことも重要だ。
「セキュリティ対策を取るにしても、取引先や関連会社のすべてに一律に高いレベルを求めることが現実的でないこともあります。重要な個人情報を預ける取引先、物流や決済を任せる取引先と、重要な個人情報などを開示せずコンサルティングだけを任せる取引先では優先度が異なります。まずは『どういう取引先があるか』『どこが攻撃されたら困るか』という洗い出しをするだけでも整理できます」と星野氏はアドバイスする。
IPA(情報処理推進機構)が提供している「中小企業の情報セキュリティ対策ガイドライン」(特に同ガイドライン付録の情報セキュリティ自社診断、リスク分析シート)や「実務者のためのサプライチェーンセキュリティ手引書」(特に同手引書別冊のチェックポイント集)などのリソースを活用することで、効率的にチェックリストを作成可能だ。
