Insight

オーストラリアで取締役会がサイバーセキュリティについて質問すべき3つの簡単な質問(2022年11月)

荒川尚子
By:
insight featured image
最近、大手企業で重大なデータ侵害が発生したというニュースを受けて、オーストラリア全土の取締役会から日常生活にわたり数多くの質問が寄せられています。よくある質問には、データ侵害の理由です。私たちは日々データ侵害の危険にさらされているか?そして、今後の同様の出来事からどのような対策を練ることができるであるか?です。
Contents

データ攻撃によって、何が起こったかを説明するために利用できる公開情報の量は大きく異なります。場合によっては、データ侵害は高度な攻撃の結果であったかもしれないですし、他の場合には、通常の良好な内部統制により、各侵害の影響を防止するか、または著しく減少させました。

多くの企業がサイバー・リスクを排除・軽減するためにとることのできる防衛戦略を導入していないことを忘れてはいけません。むしろ、これらのデータ侵害の既知の状況に基づいて、ほとんどの企業の目標がサイバー・リスクを低減するための実際的な措置を実施することであるべきです。特に、取締役会と経営陣は以下を考慮するべきです:

 

1. データセキュリティ文化はどのくらい強力であるか?各役員は、サイバーセキュリティに関するKPIを持っているか?

  • セキュリティ文化は、組織の直接の管理下にある、唯一の最も重要な変数なのです。
  • 強力なサイバーセキュリティ態勢は、企業に関係するすべての人が、情報を安全に保つ上での役割を理解することに依存しています。取締役会から臨時従業員に至るまで、全員が重要な役割を担っていると考えなければいけません。
  • ITユーザーは、技術インフラストラクチャの勤勉な保守に関連し、より広範な組織のセキュリティ推進者である追加の責任を負うことになります。
  • ITユーザー以外は、強力なパスワードの使用、危険なリンクをクリックすることのリクす認識と回避、通常のプロセス以外の情報や行動を求める電子メールを受信する際の注意、IT資産の適切な管理、技術チームへの疑わしい行動の報告などが含まれます。

 

2. 認証とユーザーアクセスの手順はベストプラクティスに沿っていますか?

  • NISTは、認証に関する伝統的な見解のいくつかを最近更新しました。
  • パスワードを変更するのをやめるか?変更が頻繁に行われるほど、パスワードが複雑になる可能性は低くなります。長くて複雑なパスワードを使用する際の摩擦を除去するために、認証に関する伝統的な考え方に変化がでてきています。
  • 多くの組織は、「最小限の特権」という概念を主張していますが、実際にはそうする人はほとんどいません。例えば、データ管理者に特権アカウントと非特権アカウントを別々に使用することを要求しても、特権アカウントには限られた期間しかアクセスできないようにすることです (例えば、「ジャストインタイム管理アクセス」)
  • アクセシビリティとセキュリティの間には常にバランスがとれており、調整が必要かどうかを確認するために、そのバランスを再検討することが重要です。

 

3. データをため込んでいませんか?保有するすべての情報について、有効な事業目的を有しているかご存知ですか?

  • データのため込み(Data hoarder)は、経営幹部との話し合いでよく耳にする言葉です。
  • 過剰にデータを保持することは、組織にとってより大きなサイバー・ターゲットとなり、違反が発生した場合に、レピュテーション・ダメージを劇的に増大させる可能性があるからです。
  • 最近のサイバー攻撃により、組織がGDPRに概説されているデータ保護の原則に厳密に従う必要性が明らかになりました。特に、収集されたデータが有効なビジネス目的を有していること、およびそのビジネス目的を支援するために最小限の情報が収集/保存されていることが大切です。
  • これが自社の盲点である場合、今はデータ管理慣行を見直し、強化することを検討するべきです。

 

実際、過去数カ月の間に、オーストラリア人がサイバーセキュリティ、プライバシー、データ統制をどのように見ているかという点に大きな変化が生じてきています。盗まれたデータは、現在、ドリップフィード方式で公開されているため、サイバーは今後数カ月間、ニュースにとどまる可能性が高いからです。

サイバーセキュリティについて更に話し合うことをご希望の場合は、Grant Thorntonオーストラリアの担当者にお問い合わせください。