「銀行がサイバー攻撃を受けた」という架空の設定の下、その対応を役員が議論する──。みずほフィナシャルグループ(以下、みずほFG)では、こうした研修を通して経営層のサイバーセキュリティに対する理解向上に取り組んでいる。同社の進める施策やこの領域における人材育成について、みずほFGグループ執行役員 情報セキュリティ担当(グループCISO)の寺井理氏に聞いた。
身代金は「支払わないことを原則とすべき」
──近年、サイバー攻撃によって企業の保有する顧客情報を入手し、公開しない代わりに身代金を要求する事件が起きています。みずほFGではどのような対策を取っていますか。
寺井理氏(以下敬称略) そうした事象を未然に防ぐための技術的な対策はもちろんのこと、有事にも十分な対応ができるよう、サイバーセキュリティに対する経営層の理解向上にも力を入れています。
一例が、役員を対象にしたインシデント対応訓練です。架空の銀行がサイバー攻撃を受け、3時間以内に身代金を支払わなければ数百万の顧客情報を漏えいさせると脅迫されたとします。参加役員はいくつかのグループに分かれ、その銀行の経営陣としてどう対応すべきかを議論し、発表するのです。
判断のポイントは2つあり、銀行のシステムをいったん止めるかどうか、そして身代金の要求にどう対処するかとなります。この訓練によって、緊急時の意思決定プロセスを役員が疑似体験し、自分ごととしての意識を高めることに加えて、私たち情報セキュリティ担当にとっても、各役員がサイバー攻撃に対してどのような考え方を持っているのか、思考回路や傾向を把握することができます。