種々の問題はあるにせよ、少しでもリスクを低くするにはどうしたらいいか、最後の論点はそれになった。つまり事前準備ということ。パネリストは各々の立場から多くのヒントをくれたが、僕がそれを自分なりに整理すると以下のようになる。
◆社内の体制整備
海外子会社も含めて、従業員やデータ、アプリケーションなどの整理は必要だ。例えば「ゼロ・トラスト」のための6要素は、見えるようにしておくべきである。
ゼロ・トラストって何?(前編) - Cyber NINJA、只今参上 (hatenablog.com)
その前提でだが、事案が起きた場合対処する中心人物(危機管理担当役員)を決め、その人物に情報が集まるパスを構築する。大企業グループならすでにCISOもいるだろうが、子会社等にもCISOはいる公算が高い。グループCISOと事業部門、子会社等のCISOとの役割分担・指揮命令系統・権限なども決めておくべきだ。
◆訓練の実施
額面だけ役割分担や情報パスをつくったところで、火急の際には役に立たないことが多い。まずは具体的な想定シナリオを置いて、シミュレーションをやってみることだ。例えば米国連邦政府機関は、毎年異なった想定で「事業継続」の訓練を実施する。その課程で問題点があぶりだされ、ベストプラクティスが積み重ねられ共有されていく。
◆外部ネットワークの構築
社内の体制以外にも、危機管理のための関係構築は重要だ。あるパネリストは「かかりつけ医」を決めておく方がいいと言っていた。事実確認や事業復旧には外部機関(SIer、セキュリティベンダ、コンサル、監査法人等)の力も必要だが、いざ事件ですといって頼んでも、自社の事を知らない外部機関では立ち上がりが遅く間に合わない。サプライチェーンセキュリティとしては、最重要なお取引先を巻き込んだ訓練ができれば安心できる。法執行機関などの当局やメディアとも事前に十分な意思疎通ができていれば、いざという時に慌てないで済む。
100分という長いセミナーだったが、あっという間に終わってしまった。セキュリティセミナーというと、技術的な話に終始したり、ソリューションの売り込みだったりするものですが、今回のセミナーは一味違いましたね。こういう企画が今後も増えて行ってくれることを期待しています。
