サイバーセキュリティに重要な組織風土の作り方
サイバーセキュリティにおいて、重要な要素の1つが組織風土です。ヒヤリハットを早く報告する、失敗を受け入れることなどインシデント発生時にもあわてない組織作りのポイントを解説します。
2022年6月末、尼崎市で氏名、郵便番号、住所、生年月日、性別、住民となった年月日など全市民の個人情報(46万517人分)を含むUSBメモリを再々委託先の従業員が紛失した事故が大きな話題になりました※1。
※1 尼崎市 個人情報を含むUSBメモリーの紛失事案について
https://www.city.amagasaki.hyogo.jp/kurashi/seikatusien/1027475/1030947.html
「USBメモリの取り扱い」「再々委託」「情報開示の仕方」など複数のポイントで様々な議論や報道が見受けられますが、本稿では尼崎市のUSBメモリ紛失事故にとどまらず、サイバー攻撃、情報資産を適切に取り扱いしないことによる情報漏洩などによりサイバーセキュリティインシデントが発生した際に、法人組織が持つべき組織風土に焦点をあてて解説します。
サイバーセキュリティインシデントをシンプルに捉えると、インシデントが起こらないようにする対策と、起こってしまった際にどう対処するかに大別できます。いずれもセキュリティ製品による技術的対策と運用ルールなど組織的対策の両面で考えることが必要です。インシデントが起こらないようにする対策は、ポリシーの策定、サイバー攻撃を検知したり防ぐことができるセキュリティソフト(EPP:Endpoint Protection Platformなど)の利用などです。起こってしまった際にどう対処するかは、原因を追究するためのセキュリティソフト(EDR:Endpoint Detection and Response、XDR:Extended Detection and Responseなど)や改善策の策定が該当します。
「起こってしまった際にどう対処するか」について、技術的な観点で攻撃を検知したり、追跡することも必要ですが、今回例示した尼崎市のUSBメモリ紛失などでは「人による報告」がサイバーセキュリティインシデントに組織として気づくことができる第一歩と言えます。日々業務を行っていてヒヤリハット(大きな問題にはならなかったものの、問題になりえたような事象)に直面しないという方はいないのではないでしょうか。例えば「A社に送付するメールをB社に送付してしまった」「外出先から戻ったら会社貸与携帯が見当たらない」などです。
こういった具体的な損害、問題発生とまではいかなくてもヒヤリハットの類であれば、仕事をしている方なら複数直面することでしょう。その際に、従業員が如何に早く上司や会社に報告するかが初動対応の面で非常に重要です。
そのため、サイバーセキュリティインシデント(外部からの攻撃だけではなく、従業員のミスによるものも含む)においては、以下のポイントを社内に周知、浸透させることが重要です。
<従業員への周知のポイント>
・インシデントが発生した疑いがある際の明確な報告フロー
(誰もがすぐに動けるよう、具体的にアクションを指示、明記しておく)
・内容、状況に不確定な状況があってもできるだけ早いタイミングで共有する
(“現在確認中ですが、この件は懸念がありそうです”など早めに上司や関係者に伝えておく)
・結果として大きな問題とならなくても構わない
(問題が大きくなってきてからではなく、問題になる可能性があると思ったら上司や同僚に相談する)
※あわせて「大きな問題でなかった」ことで報告者が責められる事や批判されることがないことを従業員に示す。
<管理者側の取り組み>
・現場に近いマネジメントも巻き込み、報告が実行されやすい風土を作る
(セキュリティの主管部門や経営層だけではなく、一次報告を受けることが多い現場に近いマネジメント層が上記のポイントを理解して、報告されやすい環境を作ることが重要)
・報告の仕組みと重要性を定期、不定期で繰り返し周知し、浸透を図る
(自社や取引先でセキュリティ事故やヒヤリハットが発生したり、他社の事故が報道されるタイミングで改めて周知、啓発を行う)
組織としてミスが発生した際の手順を明確にすること、ミスがあったがその報告を適切に行ったことで大きな問題にならなかったもの、逆に報告が遅れたことによって大きな問題になってしまったものなど、自社のヒヤリハットや他社の事例などを用いて、より自分事に捉えられるようなものを全社の指針や従業員教育に取り入れるとより効果的といえます。こうした事例に関する情報は、従業員のセキュリティ事故に対する想像力(あるミスから大きな事故になり得ること)を培うことにも寄与します。
最も重要なのは、ミスがあった際、それを報告しやすい組織風土を作ることです。勿論ミスはよくありませんが、誰しもがミスはするものです。それが起こってしまった際に、迅速に報告できるような風土を作ることが重要と言えます。従業員への啓発は、主幹部門、経営層からだけではなく、現場のマネジメントを担う課長などからもメンバに伝えていくことで、サイバーセキュリティインシデントが報告されやすい組織になるでしょう。
ミスがあった際、それを報告しやすい組織風土を作ることは重要ですが、それに伴い失敗を受け入れることも重要です。この2つはセットで考えるべきポイントともいえます。前述したような「A社に送付するメールをB社に送付してしまった」「外出先から戻ったら会社貸与携帯が見当たらない」などは、自分の注意不足など少なからず後ろめたさがあり、上司や会社への報告はしづらいものです。報告をしてくれた時点で、その後ろめたさを乗り越えているため、まずはミスを報告してくれたことに「ありがとう。よく報告してくれた」と伝えると、その後の解決に向けてスムーズに進みやすいのではないでしょうか。
ミスや失敗は誰しもが行うことのため、まずはそのミスを受け入れることが上司や会社として必要なことです。但し、なぜそれが起こったのかは明確にする必要があります。言い方によっても大きく違いますが「なぜミスをしたんだ、確認はしなかったのか?どうするんだ?」という言い方では相手を責めていて、ミスを受け入れているとは言えません。「ミスがあったことはわかった。まずは事実を把握したいので、いつ、どうミスをしたのかを教えてほしい」といったように、「誰」が悪かったかではなく、「何」が原因でサイバーセキュリティインシデントが起こったのか事実を把握することが重要です。
同じ失敗を繰り返さないために行うことで重要なことは、根本的な「原因」を明確にした上で対応策を検討することです。個人情報が含まれるUSBメモリを紛失したことを例にすると、
・該当の作業はどうしても必要なのか?
⇒「USBメモリを使ったデータを移行する」という具体的な作業ではなく、その作業の目的を再確認する。不要と思われる場合はその作業自体をなくしてしまえば以降の議論は発生しない。
・その作業はその方法でないと行えないのか?
⇒「USBメモリ」を使うことのメリット/デメリットを考慮し、セキュリティリスクと作業工数を勘案して適切な方法を選択する。
・個人情報へのアクセス権限は適切だったか
⇒本来アクセスすべきではない人がアクセスしていたのであればアクセス制限や定期的な権限の見直しを行う。
・個人情報をやり取りする際のルールは明確だったか
⇒個人情報の保存先や外部と個人情報をやり取りする際のツール(クラウドサービス、USBメモリなど)やルールを決める。
・ツールの使用制限はしていたか
⇒クラウドサービスやUSBメモリの使用を認めていないのであればアプリケーションコントロールやデバイスコントロールで使用を制限する。
・個人情報を取り扱う際の留意点は明確だったか
⇒個人情報をUSBメモリなどに一時的に保存する場合、消去ルールや持ち出し時の対応を明確にする。(USBメモリは肌身離さない、現地での業務が終わった後は帰社するなど)
・過失、事故を想定した報告、対応のフローが整備されていたか
⇒セキュリティ過失、事故のリスクを想定しフローがなければ策定する。
といったように、技術的な対策ができていなかったことが原因なのか、ルールがなかったことが原因なのか、ルールがあってもそれが守られていなかったことが原因なのかなど何が問題の「原因」だったのかを明確にする必要があります。「原因」が明確になれば、改善策は自ずと明確になります。発生した事象の表層だけを捉え、いびつな改善策とせず、技術、組織、それらの運用の観点から、検証、改善策を考えることで、実行性のあるセキュリティ対策を行うことができます。
また、同じ失敗は二度起こさないことが重要になりますが、原因を明確にできたとしても、その対策を進める際に時間や手間がかかってしまい、適切な対策がとられず、同じ失敗が起こることがあります。原因を明確にした際、何を改善策として行うのか、またその改善策が適切に効果を発揮できるかの効果検証を行うことも重要です。
サイバーセキュリティインシデントの対応というと、マルウェア解析やフォレンジック、EDRやXDRを活用した原因の追究と対処、社外への適切なコミュニケーションなどを想像する方も多いと思います。しかし、サイバーセキュリティインシデントに早急に気づき、それに対処するためにはミスや失敗、懸念などを上司や組織に報告できる組織風土の醸成が非常に重要です。
そのためには、組織のトップ(経営者)が間違いは誰にでもあるので早めに連絡や相談してほしいということを伝えたり、自社で過去に起こったインシデントなどを繰り返し社内に伝えることで問題意識を根付かせることなどが必要です(新しく入社する従業員もいるため、少なくとも1年に一回以上行うことを推奨します)。加えて、他社でインシデントが発生した際に、自社でも同じような問題が起こらないかを改めて確認することも重要です。
今一度、自組織において「ヒヤリハットを早く報告する」「失敗を受け入れる」「同じ失敗を繰り返さないために行うこと」が出来ているか見直すことをおすすめします。
Security GO新着記事
サイバーセキュリティの原点回帰:EPP・EDR・XDRの違いを理解する
(2024年11月22日)
ダークパターンとは?企業にとってのリスクを解説
(2024年11月20日)
PPAPだけじゃない?セキュリティリスクにつながりかねない商習慣3選
(2024年11月20日)