セキュリティ対策
セキュリティ対策

さて、今日、5月1日時点では、新型コロナウィルス感染防止のための緊急事態宣言が約1ヶ月延長される感じになってきました。感染防止の為の施策が国・市区町村そして、企業単位で行われている中、テレワークが当たり前の状況はもう少し継続しそうな予感です。

アフターコロナの世界では、リモートでビジネスを展開するのが当たり前になるのはほぼ確実とあちこちで聞きますが、だからこそ、セキュリティ対策の基礎的な情報は常にアップデートする必要があります。

さて、

総合セキュリティサービス・BLUE Sphereを提供されている株式会社アイロバの小林社長にECサイトのセキュリティ対策について寄稿して頂きました。今日は、その2回目です。

前回の記事では、日本ECサイトの危険性と現在のセキュリティにおける1つスタンダードとなっている「多層防御」の有効性について、前回記事を書かせて頂きました。

また同時に、どんなセキュリティベンダーでも
「ECサイトのセキュリティは何をすべきか?どこまでやれば安心なのか?」
という点について、言及できない現状についても書かせて頂きました。

その上で弊社アイロバとして提唱させて頂いている、

サイバーセキュリティ対策の最適解となる

「防御」+「補償」

という考え方について今回はあらためてご紹介させて頂きます。

何故、各メーカは「ここまでやれば安心!」と断言できないのか?

 セキュリティ対策をしようと考え始めても
「ECサイトのセキュリティは何をすべきか?どこまでやれば安心なのか?」
という疑問がまずは浮かんでくるのでは無いでしょうか。

誰もが感じるこの疑問に対して、各セキュリティベンダーもセキュリティ技術者も明確な回答が出せていないのが現状です。

 その原因として、今までセキュリティ対策は
「防御しか意識をしてこなかった」
からだという指摘が近年、各メーカやセキュリティ技術者からされるようになってきました。

過去のセキュリティ対策は「侵入させない」という前提に製品・サービスが作られてきました。


しかし、現状は「100%侵入させない」という事は不可能であると各メーカーが認めており、過去と現在においてセキュリティのあるべきスタンスに矛盾が生じてきているのです。

また、技術革新による防御対策・製品の陳腐化も大きな問題です。
攻撃側の技術革新により、防御対策があっという間に過去のものとなり、陳腐化してしまいます。


数年前まで数百万円費用の掛かったセキュリティ機能が、簡単に突破可能な技術として過去のものになるケースが度々発生しています。

特に物理的なセキュリティ機器などに関しては、複数年利用を前提とした固定資産として購入しますが、数年後には技術的に陳腐化してしまう…といったケースも度々発生し、その度にユーザは結局「何をどこまで準備すれば良かったのか?」と途方に暮れるケースが後を絶ちません。

 このように「防御」だけに目を捕らわれていては、永遠に安心する事はできません。
「100%の安心」を担保することは、どんなメーカーにも優秀な技術的、組織にもできないのです。

ではどうすればよいのか?

侵入前・侵入時の対策として「防御」を準備した上で、「侵入・侵害」される事を前提とした「事後対策」が重要であるとの考えが、

現在では主流となってきています。

 総務省のガイドラインにも記載されている、この「事後対策」とはどのようなものなのでしょうか。

事後対応の重要性
事後対応の重要性

経産省のガイドラインにも示される「事後対策」と「補償」の重要性!

経産省から公表されている「サイバーセキュリティ経営ガイドライン ver.2.0」でも、サイバー攻撃による被害が発生してしまった「事後対策」への重要性が書かれており、「事後対策」への備えとしてサイバーセキュリティ保険による損害の「補償」が企業へのダメージをより最小化する為に必要であると提言されています。

「事後対策」とは「企業にサイバー攻撃被害が発生する」事を前提に、侵入・侵害後の早急な対処を実現できるEDR等の導入や、事前準備による外部向けへの適切な対応とり、企業へのダメージを最小化する対策の事です。

以下はサイバー攻撃が発生した際に必要となる対応の内訳とその想定被害についてです。

図:事後対策としてのリスク「補償」が重要
図:事後対策としてのリスク「補償」が重要

サイバー攻撃被害の恐ろしいところは、攻撃を受けた「被害者」であるにも関わらず、「加害者」としての賠償責任や世間への説明責任といったものが求められ、加えてそれらへの金銭的な負担が発生するというところです。

 そして賠償などの金銭的な負担が発生する損害に対し、「防御」という観点でのセキュリティ対策のみでは、まったく対応する事ができません。この「事後対策」への不足は「金銭的な損害」として企業に直接的かつ、大きなダメージを与えます。

あくまで

参考値ではありますが、10万件の個人情報が流出してしまった場合、総額で1億以上の被害額が発生するとの試算

もされています。

また、
サービスそのものが白紙になってしまった 「セブン・ペイ(セブン&アイ・ホールディングス)」

主力サービスが停止・終了に追い込まれた 「宅ファイル便(オージス総研)」

の様に、事後対策や対応について不足や怠慢があったと社会的に判断された場合、企業のブランドイメージや風評被害などの社会的な責任を追及される事も多く、「金銭的な損害」以上のダメージが企業を襲う可能性があります。

このような事例からも「事後対策」と「補償」は、経産省のガイドラインでも提言されるように非常に重要なサイバーセキュリティ対策であると読み取れるのではないでしょうか。  

セキュリティ製品による「防御」では対処できない、サイバー攻撃被害である「事後対策」について、「補償」としてサイバーセキュリティ保険で備えることは、企業にとって非常に重要な対策であるとご認識ください。

ECサイトへのセキュリティ対策の最適解は「防御」+「補償」!

セキュリティ製品による「防御」だけでなく、「事後対策」としてサイバーセキュリティ保険による「補償」、この2つの対策を併せて準備することが、サイバーセキュリティ対策の観点では必須であると断言しても良いでしょう。

複数のセキュリティ対策による「多層防御」

そして、サイバーセキュリティ保険による「補償」

図:サイバーセキュリティ対策の最適解は「防御」+「補償」
図:サイバーセキュリティ対策の最適解は「防御」+「補償」

ECサイトをセキュリティ対策で「防御」し、万が一に備えたサイバーセキュリティ保険で有事の際の費用を「補償」する。このシンプルな考え方でサイバー攻撃に備えれば、ECサイトを運営する上での「安全性・安心」をより担保したサービス体制を構築する事ができるでしょう。

ECサイトを守る「多層防御」、「サイバーセキュリティ保険」この2つを組み合わせた対策について、是非ともご検討ください。

ECサイトに必要な「防御」+「補償」を1つのサービスで実現!「BLUE Sphere」

 弊社アイロバでは、ECサイトのセキュリティ対策としての「多層防御(DDoS防御/WAF/改ざん検知)」機能を持ち、サイバー攻撃による損害を補償する「サイバーセキュリティ保険」が付帯する、ECサイトに必要なセキュリティ対策を1つにまとめた「BLUE Sphere」というサービスを提供させて頂いております。

記事でも触れた「多層防御」+「補償」というサイバーセキュリティ対策としての最適解を、三井住友海上保険様の「サイバープロテクター」とのコラボレーションにより実現したサービスとなります。

 興味のあるかたは、是非製品ページをご確認ください。

BLUE Sphereの製品サイト

BLUE Sphere + サイバーセキュリティ保険について

さて、2回にわたって、ECサイトのセキュリティ対策について、コラムを掲載致しました。

新型コロナウィルス感染拡大防止の為、テレワークするビジネスマンが非常に多い中で、ECサイトだけでなく、Businessの環境全体のセキュリティ対策について改めて、考え直すタイミングなのは、確実ですね。

おすすめの記事