セキュリティ経営サロン「第4回 経営者のためのサイバーセキュリティと法律問題」終了報告

セキュリティ委員会　セミナーＷＧ 主催

　
　CSAJセキュリティ委員会では、経営者向けにセキュリティ意識を高めてもらうために、4回シリーズでセキュリティに関するセミナーと情報交換をサロン形式にて企画・開催しています。セキュリティは大事だが何かモヤッとしている、自社のセキュリティ投資額は果たして妥当なのか、インシデントが起きた時あるいは事前準備をする時の判断材料を知りたいという声があり、それにこたえる内容としての講座企画です。

　第4回では、技術的にも法的にも知見を有する西村あさひ法律事務所［カウンセル弁護士］の北條 孝佳 氏を招聘し、「経営者のためのサイバーセキュリティと法律問題 ～外部・内部の脅威と警察との連携～」と題して、ご講演をいただきました。（参加：16社17名）

　情報漏洩事件は自社には関係ないと思っている誤解や、企業の事業継続にも関わるサイバーセキュリティ対策の重要性、また犯罪リスク（ランサムウェアなどによる恐喝など）が起きる可能性が高まっていることや、インシデントが起きた際、海外では攻撃者が責められるが、日本では被害者側がきちんとセキュリティ対策をしていなかったのではないかと避難を浴び、その後取引を敬遠されるケースがあることなどについて紹介いただきました。

　また、取引先を攻撃し、踏み台にして目標とする組織を攻撃するなど、攻撃手段が水平へ広がっていることや、正規のアクセス権限を持っている者が犯行を行う内部犯行の事例を多数紹介され、その対策として、システム管理を厳密にすると業務効率が落ちる可能性があるが、管理をやらなければ犯罪が起こるリスクが高まるという課題について、共有がなされました。

　さらに、ビジネスメール詐欺（BEC：Business Email Compromise）の被害も多くなってきており、海外企業との取引でメールによる請求書のやりとりを行っている場合、振込口座変更の連絡がきたら注意が必要、またhtmlは偽装されやすいので極力使わないほうがよい、自社に似せたドメインの存在確認などの紹介が行われました。

　警察との関わりでは、普段からの連携はあまりできない（あったとしてもセミナー、勉強会、研修会にて講師依頼をする程度）と思われるが、サイバー攻撃や内部犯行の被害の大きさによっては、自社内のみで対応を完結するのではなく、警察に被害相談や被害の届出を行い、相談したほうが後々の企業側の行動責任を考えたときによいと思われるとの説明がなされました。

　昨今頻繁に起こるサイバーセキュリティインシデントについては、事前対策として法務部門、顧問弁護士、専門弁護士と連携し、企業として適切な管理体制を構築しておくとともに、事後対応としてインシデント対応業者への依頼や訴訟を見据えた情報収集・証拠保全、法務執行機関との連携、通信履歴・アクセス履歴・操作履歴の取得など、会社全体で対応する必要性について紹介いただきました。

今回は、セキュリティ経営サロンの最終回ということで、加藤副委員長より、全4回のラップアップを行っていただきました。最後に、インシデントが起きたときに最悪なのは調べるすべがないことなので、きちんと説明できるか、何が起きたか調べられるか、どのタイミングで発表できるか、などの対応ができるようログ管理を行うなどの重要性について説明いただくとともに、平均的なセキュリティ対策を行っていればよいということはまったくないので、自社の情報管理と棚卸をきちんと行い、セキュリティインシデントを想定した危機管理の構築、ステークホルダーやメディアとのコミュニケーションの構築を日頃から行うことの大切さを踏まえ、IT企業はインシデントに負けないよう足腰を強くしていっていただきたいということで、まとめていただきました。

　講演終了後、全4回のすべてに出席された亀井 政之 氏（日本システム開発株式会社）、久保 博司 氏（株式会社アルゴグラフィックス）に、修了証書と、記念品として北條 孝佳 氏の書著「経営者のための　情報セキュリティQ&A45（日本経済新聞出版社）」とセキュリティ委員会 委員長・副委員長による特別セミナー無料券を、板東委員長より贈呈しました。

　講演終了後の懇談会（情報交換サロン）では、聴講者からの悩みや課題相談など、活発な情報交換が行われました。