パンデミックを乗り越え、ポスト・パンデミックに備える
日本では非常事態宣言が発令され
世界各地でロックダウンとなる中
事業継続計画の遂行が迫られる
在宅勤務移行に際して
環境の整備や社外への持ち出し
IT アセットへの社外からの接続許可
今回の対応を単なるコストと捉えず
ポスト・パンデミックでの
持続可能な成長への投資としたい
在宅勤務で活用されることの増えた Web 会議
セキュリティやプライバシーへの懸念からご質問いただくことも多くなっています
* 一部の Web 会議では設定できない項目もあります
会議室にパスワードを設定することで
思わぬ参加者が紛れ込むことを防ぎ
会議が乗っ取られないようにします。
主催者参加まで開始できないよう
設定できると更に良いでしょう。
会議室の ID をランダムにし
ID をパブリックに共有しないことで
予期せぬ参加者によって
見つけられずらくしましょう。
悪意ある参加者を削除した場合でも
再入室を許可する設定にしていると
再入室することができてしまいます。
予定通りの参加者が揃ったところで
会議をロックしても良いでしょう。
外部のファイル共有サービスを活用し
ファイル共有を分離することで
悪意ある参加者によって
ファイル共有されるリスクを下げます
許可されたユーザに限定する
もしくは画面共有を無効にすることで
望まない画像の共有を避けられます。
最新の状態に維持することで
セキュリティ上の問題が修正されたり
問題のある機能が無効になるなど
改善がはかられる場合があります。
e ラーニングやウェビナーなども
活用して一人ひとりのユーザの
継続的なトレーニングを実施します。
Web 会議プロバイダーの提示する
利用規約をよく読み、
使用する上での義務や
守られている権利を確認しましょう。
サイバーリスクに起因した損害を
保険でカバーすることもできます。
付帯サービスも含めた対応可否を
確認されてみても良いでしょう。
<参照すると役に立つガイダンスやヒント>
あることが別のものにつながる
つながる先における運用上のミスが影響
つながる先が脆弱なことで処理が行われない
つながる先でのコンプライアンス違反による
責任の波及
顧客・取引先・サプライヤーは今、これらのリスクに対して敏感になっています。
データ侵害のおよそ半数がサードパーティ・ベンダーを経由して被害に遭っています。*
この1年以内に発生した大手ホテルチェーンや地方自治体での大規模なセキュリティ侵害では、
いずれも脆弱な取引先ベンダーを経由して侵害が成功しました。
「データ侵害」「事業停止」「ブランド価値毀損」
「運用効率低下」「金銭的損失」など
そのため『サイバーセキュリティ経営ガイドライン Ver2.0』(経産省)だけでなく、
GDPR(EU一般データ保護規則)や各国や地域でのサイバーセキュリティ、データ保護関連法規制においても、
ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握が求められているためです。
そして顧客・取引先・サプライヤーなども在宅勤務をはじめ、
侵害のための エントリーポイント も増える一方です。
* https://www.ponemon.org/news-2/23
サイバーセキュリティは収益をあげてくれません
しかし収益をあげる領域を守ってくれるものです
対象となる IT アセットを把握することが第一歩。
意外と多いのが、すっかり忘れていた IT アセットの存在。もちろんホスティング事業者にはちゃんと支払っています。
企業での IT 活用が始まってから既に多くの年月が流れ、異動などの引き継ぎで存在を忘れられた IT アセット。
意外と多いのです。
IT アセットの把握は、デジタルトランスフォーメーション (DX) や IoT などに取り組む際の「第一歩」でもあります。
パンデミックへの対応を、ポスト・パンデミックのスタートダッシュに繋げましょう。
20% Complete
それぞれが抱えている悪用可能な脆弱性が残っていないか把握。
自社の IT アセットを把握できているのであれば、このステップから始めてみてもよいでしょう。
脆弱性が残っていることで、不正侵入を許してしまうことにもなりかねません。
ポスト・パンデミックでの加速に備えましょう。
60% Complete
取引先やサードパーティの何とどのように連携しているのかを把握します。
万が一、サードパーティでセキュリティ侵害が発生した場合、被害の最小化に役立ちます。
そして、取引先やサードパーティの対策および状況把握をしていることで各種ガイドラインや法令への対応を手伝います。
外部との連携を円滑に行えるように準備していきましょう。
70% Complete
ここまでの取り組みを継続的に行っていくことが必要です。
日々 OS やアプリケーションはアップデートやセキュリティパッチの適用などで更新され、システム構成は変化しています。
つまり抱えているサイバーリスクとは常に変化するものです。
もちろん把握するだけでなく、見つかった問題への対処は必須です。
90% Complete
4つの Step に取り組んだのに 90% !?・・・サイバーセキュリティに 100% はありえないからです。
Essentials
- 外部から接続可能な IT アセットの抽出
- 外部から接続可能な IT アセットの脆弱性を分析
(£1,800- / 1レポート)
Essentials Plus
- 外部から接続可能な IT アセットの抽出
- 外部から接続可能な IT アセットの脆弱性を分析
- サードパーティ・サービスの利用状況調査
(£2,000- / 1レポート)
Simply Scan
- 指定ドメインの脆弱性を分析
(いわゆる従来型の外部診断)
(£1,000- / 1レポート)
Cyber Risk Monitoring
- 定常的なモニタリングの実施
- Essentials Plus のサービス内容全てを含む
* Essentials Plus からのプラン変更は初期費用不要
(初期費用 £1,000-・月額 £1,000-)
Advisory Service
- 用途に応じて完全にカスタマイズが可能
- フレームワークやレギュレーションへマッピング
- 対策の優先順位を提案・対策支援
- Cyber Risk Monitoring のサービス内容全てを含
(初期費用・月額 要見積)
Managed Security Service
Ask
Web Application Firewall
Ask
Penetration Testing
Ask
CyberDD はロンドンを拠点とするリスク アドバイザリー ファームです。
サイバーリスク・ガバナンス・ファイナンスなどの専門家チームが対応します(日本語可)。
自社への評価だけでなく取引先や投資先、買収先などにも対応できます。
まずはお気軽にご相談ください。
©2019-2020 CyberDD All rights reserved. | PRIVACY NOTICE