近年の不安定な社会情勢を背景に、国家間のサイバー攻撃が活発になっています。特に、国民生活や経済活動の基盤となる重要インフラ(金融、クレジット、電力等の14分野)に属する企業は、サイバーセキュリティの再確認が急務となっています。また、経済安全保障推進法案が2022年5月11日に成立したことにより、更なる対策が求められる可能性があり、今後は導入しているソフトウェアやハードウェアへのゼロデイ攻撃や、海外拠点、取引先、委託先等を狙ったサプライチェーン攻撃への対応が重要です。
課題認識
ご支援させていただいた企業では、Log4jゼロデイ攻撃や、取引先を狙ったEmotet等マルウェア感染など、実際に自社へのサイバー攻撃を経験した際に、攻撃の検知から対応までをスムーズに実施することができませんでした。例えば、ゼロデイ脆弱性を狙われたLog4jは、様々なソフトウェアに組み込まれており、自社のどのシステムに組み込まれているか把握することが難しいため、根本的な対策(ソフトウェアのバージョンアップ等)が遅れてしまいました。これらの経験から、自社のサイバーセキュリティ対策全体を再度見直したいと考えていました。一方で、サイバーセキュリティのコストが膨らんでいたため、同時にコスト削減も実現したいと考えていました。
支援内容
まず、現在の対策実施状況を整理するため、「サイバー攻撃による脅威」と「脅威に対するセキュリティ機能」を網羅的に洗い出し、ヒアリング等を通じて不足もしくは冗長なセキュリティ機能がないか分析しました。さらに、ヒト関連のコスト削減に向けて、セキュリティ業務・体制を可視化し、効率化や削減の余地がある箇所を洗い出しました。最終的に、セキュリティ強化策とコスト削減策とを洗い出し、実現容易性と効果性から対策に実施優先度を付けてご提示しました。
プロジェクト成果
サイバー攻撃が高度化・巧妙化するにつれて、セキュリティ対策費用はかさむ一方でしたが、今回の調査の結果、業務の削減・効率化によるコスト削減余地が十分にあることがわかりました。そして、削減した費用を新たな取り組みに振り向けられるとわかりました。ご支援をした企業様から、あとは進めるだけだと喜んでいただけました。