Evangelist 読んで知る、証券システムの今と未来。

TOP連載特集「The Evangelist」第六回 / 2020.04.13 掲載
Photo by pixabay

新型コロナウイルスの脅威に対して、様々な対応が実施されていますが、これはサイバーセキュリティにおいての対策と非常に近いものがあります。
第六回目となる今回は、パンデミック(ウイルス感染)への対応について、サイバーセキュリティと感染症の両面から考えてみたいと思います。

パンデミックの脅威とは

現在、世界中で新型コロナウイルスが蔓延し、脅威となっています。このような中、『国』、『企業』そして『個人』での対応が重要視されていることは、皆さんも強く感じられていることと思います。

パンデミックによる脅威は、ウイルスが新型や変異であることから、免疫がなく、瞬く間に大勢の人々に感染し、被害が広がることです。ワクチンの開発や接種などが追いつかずに感染が拡大することで社会に甚大な被害を与える、これがパンデミックの怖いところです。ワクチンが開発され、各国において対応が完了するまでは、パンデミックの収束は難しいでしょう。

これは、サイバーセキュリティにおいても同じことが言えます。
ウイルス対策ソフトが新種のコンピューターウイルスに対応していない場合、即座に同じネットワーク内のコンピューター端末がコンピューターウイルスに感染します。しかし、コンピューターウイルスに関しては、人間の感染症とは違い、ワクチンソフトだけではなく、挙動の監視による防御に期待することもできます。
ただ、現実はそんなに甘くなく、攻撃者は常に防御システムを研究したうえで攻撃してきます。そのため、現在ではコンピューターウイルスに対する100%の防御を求めるのではなく、防御を突破されたときに、いかに迅速に対応できるかが求められています。

 

サイバーセキュリティに特化して考える

photo by pixabay

サイバーセキュリティにおいて、平成28年から経済産業省が『サイバーセキュリティ経営ガイドライン』を公表しています。

 

この背景として、過去に以下のような課題が指摘されていました。

 

 

・経営陣がサイバーセキュリティに関与せず、必要なセキュリティ投資が行われていなかった
・セキュリティ対策を検討・実施するのが経営者ではなく担当者のレベルであり、どうしてもシステムに頼
  るしかなかった
・攻撃を受けた場合、復旧対応よりも被害拡大防止を優先していたため、事業の継続に影響を与えていた事
  例が多かった

このような状況の中、実際に官公庁や大手企業が、海外からのサイバー攻撃により甚大な被害を受けたことにより、経営者のサイバーセキュリティへの関与が重要視され、『サイバーセキュリティ経営ガイドライン』が作成・公表されました。

このガイドラインには、「経営者が認識すべき3原則」と「サイバーセキュリティ経営の重要10項目」が掲げられており、経営者とサイバーセキュリティを推進する経営陣が念頭に置くべきこと、対応するべきことがまとめられています。

特に重要視されている部分は、サイバーセキュリティリスクの認識と経営陣のリーダーシップによる対応、自社だけでなくサプライチェーンも含めた総合的な対策、平時および緊急時での関係者との適切なコミュニケーションです。

また、金融分野では、金融庁が『金融分野におけるサイバーセキュリティ強化に向けた取り組み方針』を公表し、その後、金融機関に対するサイバーセキュリティに係る一斉把握が行われ、平成30年にアップデートされました。
このアップデートでは、一斉把握で金融庁が認識した課題への対応や、東京オリンピック/パラリンピックへの影響に鑑みた対応が追加されました。具体的には以下の内容が追加されています。

 

・サイバーセキュリティに対してのリスク評価不足への対策
・関係部門も含めた組織的な対応態勢の構築
・インシデント発生時のコンティンジェンシープランの整備
・サイバーセキュリティの人材育成

 

これらは、前述した『サイバーセキュリティ経営ガイドライン』と同じ方向を見据えて、金融分野におけるより具体的な課題を提示し、対策を求める内容となっています。特にインターネットを中核としたデジタライゼーションの進展による新たなサイバー脅威に対して具体的にリスクを例示し、対応を求めています。

つまり、サイバーセキュリティにおいて重要とされているのは、既知の脅威への対応を固めることだけではなく、これからの更なるIT化(クラウド利用の促進、IoT、AIの利活用等)に向けて、未知の脅威を想定し対応できる体制作りや訓練が求められています。

パンデミックにおいて必要となる対応策とは

では、人間のウイルス感染症によるパンデミックにおいては、どのような対策が必要となるのでしょうか?
サイバーセキュリティでは影響を受けるのはシステムです。一方、ウイルス感染症では、企業視点から考えると、従業員が以下のような影響を受けることになります。

・感染者および感染者と濃厚接触した従業員の療養や自宅待機による業務遅延や停止
・感染者が出たオフィスが使用できなくなることによる業務の停止
・ビジネスパートナーや委託先との会議等ができないことによる業務の遅延
・サプライチェーンの寸断による原料等調達の遅延

 

業態により影響度は異なりますが、パンデミック発生時の対策により想定外の支出と売り上げの減少が起こります。これらの影響を少しでも減らすために、急場凌ぎで以下のような対策を講じることになりますが、どうしても平時通りとはいかない状況となることを受容する必要があります。

・業務の縮小、もしくは停止
・テレワーク、在宅勤務や交代勤務による対応
・時差出勤による対応
・会議や企業イベント等、大人数集会の中止
・従業員の検温による健康管理と日々報告など

 

さいごに

photo by pixabay

今回の新型コロナウイルスによるパンデミックについては、約2週間という潜伏期間、感染時の症状がその人の健康状態によりかなり違うこと、検査薬が不足していることなど、想定外の深刻な影響が広がっており、予断を許さない状況が続きそうです。
国や自治体の方針や要請を待つのではなく、緊急事態と認識し、企業・組織としての自律的な行動が重要となっています。
また、個人としても体調管理や感染予防に努め、サイバーセキュリティのリスクと同様に「既知の脅威に備えるだけではなく未知の脅威を想定し、100%ではないにしろ、対応できる態勢を整えておく」という意識を強くもつことが重要だと言えるでしょう。

「そんな事は有り得ないだろう、という感覚を排除して最悪を想定する」、今必要とされるのは、一人ひとりのそのような考え方なのではないでしょうか。

連載特集「The Evangelist」へ
TwitterFaceBook