在宅勤務 (WfH) 時代の
リスクと対策 4Steps
(日本語版)

パンデミックを乗り越え、ポスト・パンデミックに備えるためのヒント
 

CyberDD へのご相談はこちらから

各社の取り組みと課題

パンデミックを乗り越え、ポスト・パンデミックに備える

事業継続計画の遂行
 

日本では非常事態宣言が発令され
世界各地でロックダウンとなる中
事業継続計画の遂行が迫られる

在宅勤務 (WfH) への移行
 

在宅勤務移行に際して
環境の整備や社外への持ち出し
IT アセットへの社外からの接続許可 

ポスト・パンデミックでの
持続可能な成長

今回の対応を単なるコストと捉えず
ポスト・パンデミックでの
持続可能な成長への投資としたい

Web 会議を安全に活用するための Tips

在宅勤務で活用されることの増えた Web 会議
セキュリティやプライバシーへの懸念からご質問いただくことも多くなっています
* 一部の Web 会議では設定できない項目もあります

会議室をパスワードで保護

会議室にパスワードを設定することで
思わぬ参加者が紛れ込むことを防ぎ
会議が乗っ取られないようにします。
主催者参加まで開始できないよう
設定できると更に良いでしょう。

会議室の ID はランダムに

会議室の ID をランダムにし
ID をパブリックに共有しないことで
予期せぬ参加者によって
見つけられずらくしましょう。

悪意ある参加者の削除

悪意ある参加者を削除した場合でも
再入室を許可する設定にしていると
再入室することができてしまいます。
予定通りの参加者が揃ったところで
会議をロックしても良いでしょう。

ファイル共有は別の場所で 

外部のファイル共有サービスを活用し
ファイル共有を分離することで
悪意ある参加者によって
ファイル共有されるリスクを下げます

画面共有を制限する

許可されたユーザに限定する
もしくは画面共有を無効にすることで
望まない画像の共有を避けられます。

更新プログラムの確認

最新の状態に維持することで
セキュリティ上の問題が修正されたり
問題のある機能が無効になるなど
改善がはかられる場合があります。

トレーニングの実施 

e ラーニングやウェビナーなども
活用して一人ひとりのユーザの
継続的なトレーニングを実施します。

利用規約をよく読む

Web 会議プロバイダーの提示する
利用規約をよく読み、
使用する上での義務や
守られている権利を確認しましょう。

サイバー保険の用意

サイバーリスクに起因した損害を
保険でカバーすることもできます。
付帯サービスも含めた対応可否を
確認されてみても良いでしょう。

<参照すると役に立つガイダンスやヒント>

在宅勤務時代の「つながるリスク」とは

あることが別のものにつながる

オペレーショナル
リスク

つながる先における運用上のミスが影響

トランザクション
リスク

つながる先が脆弱なことで処理が行われない

コンプライアンス
リスク

つながる先でのコンプライアンス違反による
責任の波及

顧客・取引先・サプライヤーは今、これらのリスクに対して敏感になっています。

データ侵害のおよそ半数がサードパーティ・ベンダーを経由して被害に遭っています。*
この1年以内に発生した大手ホテルチェーンや地方自治体での大規模なセキュリティ侵害では、
いずれも脆弱な取引先ベンダーを経由して侵害が成功しました。

「データ侵害」「事業停止」「ブランド価値毀損」
「運用効率低下」「金銭的損失」など

そのため『サイバーセキュリティ経営ガイドライン Ver2.0』(経産省)だけでなく、
GDPR(EU一般データ保護規則)や各国や地域でのサイバーセキュリティ、データ保護関連法規制においても、
ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握が求められているためです。

そして顧客・取引先・サプライヤーなども在宅勤務をはじめ、
侵害のための エントリーポイント も増える一方です。
* https://www.ponemon.org/news-2/23

在宅勤務 (WfH) 時代のリスクへの対策
- 4Steps -

サイバーセキュリティは収益をあげてくれません
しかし収益をあげる領域を守ってくれるものです

- Step 1 -

自社に紐付く「外部から接続可能」な IT アセットの把握

対象となる IT アセットを把握することが第一歩。
意外と多いのが、すっかり忘れていた IT アセットの存在。もちろんホスティング事業者にはちゃんと支払っています。
企業での IT 活用が始まってから既に多くの年月が流れ、異動などの引き継ぎで存在を忘れられた IT アセット。
意外と多いのです。

IT アセットの把握は、デジタルトランスフォーメーション (DX) や IoT などに取り組む際の「第一歩」でもあります。
パンデミックへの対応を、ポスト・パンデミックのスタートダッシュに繋げましょう。

20% Complete

- Step 2 -

外部から接続可能な IT アセットに存在する悪用可能な脆弱性を把握

それぞれが抱えている悪用可能な脆弱性が残っていないか把握。
自社の IT アセットを把握できているのであれば、このステップから始めてみてもよいでしょう。
脆弱性が残っていることで、不正侵入を許してしまうことにもなりかねません。

ポスト・パンデミックでの加速に備えましょう。

60% Complete

- Step 3 -

取引先やサードパーティサービスなど外部との接続状況やそれぞれの対応状況を把握

取引先やサードパーティの何とどのように連携しているのかを把握します。
万が一、サードパーティでセキュリティ侵害が発生した場合、被害の最小化に役立ちます。
そして、取引先やサードパーティの対策および状況把握をしていることで各種ガイドラインや法令への対応を手伝います。

外部との連携を円滑に行えるように準備していきましょう。

70% Complete

- Step 4 -

継続的な Step 1〜3 の取り組み

ここまでの取り組みを継続的に行っていくことが必要です。
日々 OS やアプリケーションはアップデートやセキュリティパッチの適用などで更新され、システム構成は変化しています。
つまり抱えているサイバーリスクとは常に変化するものです。
もちろん把握するだけでなく、見つかった問題への対処は必須です。

90% Complete

4つの Step に取り組んだのに 90% !?・・・サイバーセキュリティに 100% はありえないからです。

ご提案可能なサービス(一部抜粋)

4 ステップへのソリューションとして CyberDD からご提案可能な
プロフェッショナルサービスの一部をご紹介します

CyberDD については こちらから

外部から接続可能な
IT アセットの抽出

外部から接続可能な
IT アセットの脆弱性を分析

サードパーティ・サービスの
利用状況調査

定常的なモニタリングの実施

フレームワークや
レギュレーションへ
マッピング

対策の優先順位を提案
対策支援

関連サービス(一例)

Essentials

- 外部から接続可能な IT アセットの抽出
- 外部から接続可能な IT アセットの脆弱性を分析

(£1,800- / 1レポート)

Essentials Plus

- 外部から接続可能な IT アセットの抽出
- 外部から接続可能な IT アセットの脆弱性を分析
- サードパーティ・サービスの利用状況調査

(£2,000- / 1レポート)

Simply Scan

- 指定ドメインの脆弱性を分析
(いわゆる従来型の外部診断)

(£1,000- / 1レポート)

Cyber Risk Monitoring

- 定常的なモニタリングの実施
- Essentials Plus のサービス内容全てを含む
* Essentials Plus からのプラン変更は初期費用不要

(初期費用 £1,000-・月額 £1,000-)

Advisory Service

- 用途に応じて完全にカスタマイズが可能
- フレームワークやレギュレーションへマッピング
- 対策の優先順位を提案・対策支援
- Cyber Risk Monitoring のサービス内容全てを含

(初期費用・月額 要見積)

Managed Security Service

Ask

Web Application Firewall

Ask

 

 

 

Penetration Testing

Ask

ビジネスをより強固なものへアップグレードしませんか?

CyberDD はロンドンを拠点とするリスク アドバイザリー ファームです。
サイバーリスク・ガバナンス・ファイナンスなどの専門家チームが対応します(日本語可)。

自社への評価だけでなく取引先や投資先、買収先などにも対応できます。
まずはお気軽にご相談ください。
 

CyberDD へのご相談はこちらから