最悪のシナリオへの備えはファイナンシャル・アドバイザーの責務です。しかし、サイバーセキュリティの専門家はサイバー攻撃から会社を守るために必要な措置を講じていないとアドバイザー自身がひどい目に遭うかもしれないと警告しています。
サイバーセキュリティ・コンサルティング会社Invisusの創設者でCEOのJames Harrisonとサイバーセキュリティの専門家John Sileoは事業の大小に関わらず企業のITディレクターや技術に詳しい友人のノウハウを上回るセキュリティ計画の策定を強く勧めています。
データ漏えいが起きたときの防御戦略と行動計画の策定は企業の安全を確保し法的な防御力を強化するのに不可欠であるとHarrisonは述べます。「私たちはデータが王であり金である世界に住んでいます。多くの金融商品よりも価値があるので第三者リスクを計画の一部に入れるべきです」と語りました。
フィッシングやハッキングなどのサイバー攻撃は金融サービス業界にとって目新しいものではありませんが、在宅勤務の普及に伴って多くの企業が常に変化する脅威に直面しているため、両専門家はデジタル・セーフガードを確立することがより一層重要になっていると指摘します。
はじめに
Sileoはサイバーセキュリティ・プランを構築する上で最も重要な要素の一つはセキュリティ評価を実施する会社を選ぶことだと言います。「防御のギャップを検証する外部のセキュリティ会社をまだ利用していないなら、個人事業主であっても1000人規模の会社であってもすぐに行動する必要があります」と述べました。
プランがなければ同業者にアドバイスをもらうべきだとSileoは言います。「トップ・オブ・ザ・テーブルのグループや何らかのビジネス・グループに属しているのであれば、セキュリティ評価をどこに委託しているか聞いてみてください。もしどのグループにも属していないのであれば地元に根ざした銀行に信頼できるプロバイダーを紹介してもらうことを強くお勧めします」と述べました。サイバーセキュリティ評価を外部に依頼するコストはパンデミックの期間に起きたサイバーセキュリティ、特にクラウド・コンピューティングの変化を考慮すれば、十分に価値があると言います。予防は復旧よりはるかに安いのです。
評価によって自社の脆弱性や堅実なセキュリティ・プランの有無が判断されるとHarrisonは言います。コンサルタントはまずセキュリティに対する経営陣のコミットメントを確認します。つまり「サイバーセキュリティを監督するために任命された人はいますか?」ということです。個人事業主であるなら担当するのは本人です。
パートナーが数名いる会社の場合は誰がセキュリティ・プログラムを監督するのかを決め、プランは必ずサイバーセキュリティの規制に準拠していなければならないとHarrisonは言います。監査人や規制当局は文書化した方針と規定を要求します。プランには毎年のリスク評価の実施、データ漏えいの防止に関する情報、スタッフのための研修方針などの基本的なチェックリスト項目を含めるべきです。
このような計画を立てることは自社を守るだけでなく、お客さまの情報がしっかり保護されているという信頼感を与えます。「お客さまに方針や手順を見せるべきだとは言いませんが、会社が文書化したセキュリティ・プランに従い、それがSEC(米国証券取引委員会)や州の規制を満たしているという事実はお客さまに安心感を与えるはずです」とHarrisonは語りました。
ギャップを解消する
最初の評価が完了したら、経営者はその結果をもとに既存の方針やデータを再構築する必要があります。Sileoは社内で使われているコンピューターのうち古いOSが搭載されているものを特定することから始めるよう助言します。古いモデルはセキュリティ・アップデートに対応していない可能性があるためコンピューターの交換が必要になるケースもあります。
システムのアップデートはネットワークへの侵入を防ぐために「絶対に必要」だとSileoは言います。業務で使用する全ての電子機器(コンピューター、タブレット、携帯電話、スマート機器など)を対象に、特に小規模の会社はシステム・アップデートが自動的に行われるように設定し、新しい脅威が発生するたびに常にアップデートすることが推奨されます。
このような計画を立てることは自社を守るだけでなく、お客さまの情報がしっかり保護されているという信頼感を与えます。
—James Harrison
強固なサイバーセキュリティ・プランの次のステップはデータを確実に暗号化することです。これにはコンピューター、ハードドライブそしておそらく最も重要なこととしてプラットフォーム間またはクラウドに転送される全てのデータが含まれます。「ファイナンシャル・プランナーや生命保険代理店がクライアントとやり取りするメールの中には社会保障番号、金融・銀行口座などの個人情報が記載されているのに暗号化されていないものが無数にあります」とSileoは述べます。
しかし近頃ではデータの暗号化やファイアウォール、VPNなどのセキュリティ対策では企業のデータを守ることがほとんどできないとHarrisonは言います。ハッカーは従業員がオフサイトで仕事をしているときに、インターネットのWi-Fi接続から侵入してデータにアクセスできるからです。「彼らは皆さんの自宅オフィスのVPNや多要素認証をすり抜け、会社のシステムに侵入してきます」とHarrisonは警告します。
これは大企業でさえ取り組んでいる問題ですが、一方で解決することは簡単であるとHarrisonは言います。大企業でも中小企業でも、従業員に在宅勤務をする際のサイバーセキュリティに関する手順に従うことを誓約させればいいのです。また企業は自宅で使うWi-Fiルーターやコンピューターのセキュリティ・チェックを定期的に行う必要があります。
基本対策を超えて
プランの実施により、継続的なサイバーセキュリティの長期戦略の準備が整いました。例えばサードパーティーのコンサルタントに定期的なセキュリティ・チェックを依頼することが挙げられます。変化し続ける脅威や新しい規制に後れを取らないためには社内のITチームの枠にとらわれないことが必要だとHarrisonは言います。
多くのIT専門家は自社の脆弱性を確かめ、新しい規制を常に把握しておくという仕事に対応できていないからです。「脆弱性を外部からテストするという作業をIT担当者は通常行いません。堅固なツールを持ち込んで自社のネットワークをハッキングしたり突破したりして、不正侵入されそうな場所を確認しようとしないのです」
サイバー攻撃はハッカーに狙われている関連会社から来ることもあり、脆弱性の穴をふさぐのをますます難しくしています。Harrisonはフォーチュン500社の株取引をしているヘッジファンド・マネージャーの多くが、サイバーセキュリティへの脅威を特定するために500社の関連会社を調査しているという最近の動きについて語りました。「あらゆる人がリスクにさらされています。上場企業はサイバーセキュリティへの備えに関連したスコアを付与されることになっており、サプライチェーンにまで踏み込んでサードパーティーによるリスクを検証しています」と言います。この現状については規模の大小を問わず全てのファイナンシャル・アドバイザーが考慮するべきです。
またHarrisonは万が一違法行為を防ぐことができなかった場合に備え、サイバーセキュリティ保険に加入することを提案します。サイバーリスク・プランを作成することでセキュリティ侵害から会社を守ることができる上、システムがハッキングされたときに保険金を請求することができます。
「保険金を請求しようとするときにサイバー保険を取り扱う会社から拒否されるようなことはないでしょう。中小企業は50万ドルから100万ドルの保険を検討してください。しかしサイバーリスク・プランに加入せず、しかるべき措置を行わず、細部にまで気を配らなければ請求は拒否され、来年の保険料は2倍に跳ね上がるでしょう。そのためコンプライアンスは非常に重要であり、セキュリティ・プランを作成して十分な裏付けを取っておくことは最もシンプルで簡単かつ手頃な手段です」とHarrisonは述べました。
CONTACT
James Harrison james@invisus.com
John Sileo john@sileo.com