国民のための
サイバーセキュリティサイト
国民のための
サイバーセキュリティサイト
情報セキュリティに関わる事故やトラブルが発生した場合には、情報セキュリティポリシーに記載されている対応方法に則して、適切かつ迅速な処理を行うことこそが、被害や損失を最小限に抑える最大の対策です。
昨今ではBCP(事業継続計画)を策定することも多いですが、その観点で事故やトラブルの対応方法を策定しておくことも有効です。
事故やトラブルが発生した場合には、以下の手順で対応します。ここでは、ネットワークへの不正侵入を例として取り上げます。
これらの一連の処理の中でもっとも重要なことは、状況を正確に判断するための情報伝達の手順やルールを確立しておくことです。過去に発生した情報漏洩事件などでは、組織幹部への情報伝達が遅れたり、正確な情報が伝わらなかったりしたために、もっとも重要な初動処理にミスが発生し、事故の被害を拡大させたケースが数多く見受けられます。
これらの情報セキュリティに関する事故の例を参考にして、情報伝達や対応方法を手順やルールとして情報セキュリティポリシーに組み込んでおくことで、情報セキュリティ対策をさらに強化することができます。
しかし、実際にトラブルが発生した場合は、事前に策定した手順通りにはいかないことも多々あります。その際は、経営層に判断を求める必要がある場合もあります。一例を挙げれば、復旧のために通常業務をいつまで、どの範囲まで止めるのかといった判断があります。さらに例を挙げれば、ランサムウェアの被害に遭った際、通常は支払うものではないとされる身代金について、人命がかかっている等の緊急時には敢えて支払う判断もあり得ます。
これらの判断は、情報セキュリティ担当部署や担当者のみで判断できるものではないため、経営側に判断を下してもらう必要があることを意識しておかなくてはなりません。