グローバルなつながりが強くなっていく中で、最高のサイバーセキュリティ・プログラムの提供が、これまで以上に重要になっています。AIGは、お客さまが求める安心・安全なデジタル体験への対応に取り組んでいます。

AIGは、お客さまが信頼を損なうことが無いよう、万一に備えてご自身のデータやネットワーク、ITシステムを保護できるよう支援しています。また、詐欺、不正アクセス、サイバー脅威といったリスクからお客さまの情報を保護するためのサポートを行っています。私たちは、レジリエンスを持つビジネスを継続する上での、情報セキュリティの重要性を認識しています。また、進化を続ける脅威に対応することが、有効なリスク管理に欠かせないことも理解しています。お客さまご自身、またご家族やお客さまの仕事をより確実に守るための方法と、AIGが果たすことのできる役割に関して、以下の情報をご参照ください。

AIGの情報セキュリティに対してのアプローチ

AIGでは、レジリエンスを持つビジネスを維持する上で、情報セキュリティが鍵となる重要な要素であると考えています。進化を続ける脅威に対処するため、AIGでは、情報セキュリティにおいてリスク中心のアプローチを用いています。AIGは以下記載事項を通じて、組織全体のセキュリティ機能の改善と向上を続け、自社のデータおよびお客さまのデータのセキュリティと安全性を最優先に置くことにコミットしています。

インテリジェンス主導のリスクマネジメント

専任の担当者が、情報セキュリティ・インテリジェンスを監視し、情報セキュリティツールを活用して、ネットワークとアクセスポイントのセキュリティ確保に向けたプロセスと手順を定めます。脅威インテリジェンスは、戦略的事業計画において重要な役割を担っています。情報に基づいたセキュリティ投資を行うことにより、進化を続ける脅威に対するAIGの対応能力を整備します。

データおよびアイデンティティのアクセス管理

アイデンティティおよびアクセス管理コントロールを使って業務従事者のシステムおよびデータへのアクセスを管理することにより、AIGの情報とシステムの保護を実現しています。AIGは、安全な特権的アクセスに注力し、認証機能を強化し続けています。

積極的なセキュリティ実践

セキュリティの取り組みに積極的な多層防御アプローチを取り入れることにより、AIGは進化を続ける脅威に対する機敏な対処と適応を可能にしています。このアプローチは、セキュリティ監視機能と既存のツールセットの十分な発達を通じてサイバー脅威の透明性を確立することにより、AIG環境の可視性の向上を助けます。あわせて、インターネット対応アプリケーションのセキュリティを強化することにより、セキュリティ脆弱性の是正の促進と、クラウド全体のセキュリティ改善にも取り組んでいます。

セキュリティ体制およびアシュアランス(保証)

AIGにおけるセキュリティ体制の検証は、多角的なアプローチを用いて実施されます。AIGの統制環境の有効性を評価するにあたっては、独立した内部および外部組織からアシュアランス(保証)を取得しています。問題があればAIGの定義したリスク基準に基づいて優先順位が付けられ、改善に至るまで追跡されます。

従業員のトレーニングと意識向上

情報資産の機密性、可用性、完全性など、その安全の確保はAIGにおける優先事項です。顧客データ、従業員データ、AIGの専有情報など取り扱うデータの種類を問わず、AIGの資産および情報の保護に役立つように設計された、ユーザーの継続的なサイバーセキュリティ意識向上トレーニングの提供に、AIGはコミットしています。

サイバーセキュリティ意識向上月間

AIGは、毎年10月の米国におけるサイバーセキュリティ意識向上月間を、ベストプラクティスとオンラインの安全に関するヒントを従業員と共有し、企業全体の強力なサイバーセキュリティ戦略を強化する機会と位置づけています。

サイバーセキュリティ意識向上月間は、一般の人々がオンラインでより安全でより安心な状態を保つために必要なリソースを得られるようにするため、米国政府と産業界の間の共同の取り組みとして生み出されたものです。

AIGは、全米サイバーセキュリティアライアンス(NCSA)と提携して、サイバーセキュリティ意識向上月間のツールおよびリソースを従業員に普及させ、さらにサイバーセキュリティ意識向上に関するヒントとベストプラクティスをステークホルダーと共有することを目指しています。

AIGのサイバーセキュリティおよび情報セキュリティリソース

AIGは、強力なサイバーセキュリティ・カルチャーの構築を支援する取り組みにおいて、サイバーセキュリティに関するヒントとベストプラクティスを組織全体で度々共有しています。また、進化を続けるサイバー脅威からの保護を維持する助けとなるように、「デジタル初心者のためのサイバー安全対策」やその他の安全に関する多くのリソースなど、さまざまなサイバー安全対策ツールを従業員およびステークホルダーに提供しています。以下はその一例です。

AIGランサムウェアリソース 1

ランサムウェア攻撃は、身代金(ランサム)の要求増加や、システムを復旧させるための関連費用の上昇に伴う損失の増加に関連しています。AIGは、ランサムウェアおよび恐喝攻撃の増大に伴い、グローバルレベルでのサイバー攻撃による事業中断が増加することを予測しています。国家の支援を受けた攻撃者による、重要なサービス提供者へのマルウェアおよび攻撃の急速な広がりは、広範囲にわたる混乱を引き起こし、潜在的に幅広い産業への物理的損害をもたらす可能性があります。

リスクを最小限にするため、複数のバックアップを持つなど、組織がリスクを軽減するのに取ることができる多くの手段があるのに加え、サイバー保険が、組織のバランスシートを守り、インシデントが発生した場合にも迅速な回復を助ける重要な後ろ盾になっています。

  • ランサムウェアに関する詳細およびサイバー保険が組織の保護にどのように役立つかについては、AIGのランサムウェアのページ(英語)をご参照ください。 2
  • ランサムウェアの脅威からご自身を守るのに役立つヒントは、「安全性の確保 - ランサムウェア攻撃」のページを参照してください。
  • 以下に示されたパートナー組織が提供する多くのリソースから、ご自身の組織で利用可能な、ランサムウェアに対する追加措置およびリソースがご覧いただけます。

2出典:ランサムウェアに対応するように設計された、組織で利用可能な追加措置やリソースについては、http://www.cisa.gov/ransomwareをご覧ください。

AIGのフィッシングに関するリソース:

リモートワークの増加に伴い、従業員は、悪意のある攻撃者による悪用に際して、かつてないほど攻撃を受けやすい状態に置かれています。フィッシングは、組織のネットワークおよび機密情報にアクセスするために悪意のある攻撃者が使用する、最も一般的なタイプのサイバー攻撃の1つです。AIGは、繰り返しフィッシングシミュレーションテストを実施し、従業員全体での準備を実行し評価することによって、サイバー脅威に対するレジリエンスの構築を支援しています。

AIGのより強力なパスワードに関するリソース:

ベストプラクティスを活かした対応が進められている一方で、パスワードの衛生状態の悪さが、依然として問題となっています。その他の点では安全なネットワークでも、単純なパスワードが最も脆弱なリンクとなる例はよくあります。攻撃者は、しばしばパスワードクラッキングツールを使って、暗号化されたパスワードを回避し、ユーザーのアカウントにアクセスします。パスワードが「password」、「qwerty」、「1234567」のような単純なものであった場合には、より簡単に実行できます。

以前はパスワードを定期的に変更するようアドバイスされていましたが、現在では、より強力なパスワードを設定し、使い続けることがより有効であるとみなされています。米国標準技術研究所(NIST)のサイバーセキュリティフレームワークは、パスワードとパスフレーズに関するベストプラクティスに関する情報を提供しています。 3

追加のサイバーセキュリティリソースおよび情報

非営利団体である全米サイバーセキュリティアライアンス(NCSA)は、強力な官民パートナーシップを構築して、広範な教育および意識向上の取り組みを開発し実行しています。自宅、職場、学校のユーザーをエンパワーし、ユーザー自身と、ユーザーが所属する組織、そのシステムおよび機密情報が、オンラインでより安全で安心な状態を維持するために必要な情報を提供しています。他の25以上の民間企業と共に、AIGはNCSAのボードメンバーとして、優れたサイバーセキュリティの衛生に関するカルチャーの構築と推進を支援しています。役立つリソースの一部の例として、下記があります。(英語のみ)

米国国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、米国のリスクアドバイザーとして、今日の脅威に対する防御と、より安全でレジリエンスのある未来のインフラストラクチャ―の構築のために、他のパートナーと協働しています。CISAは、NCSAの緊密なパートナーおよび協力者でもあり、サイバーセキュリティおよび情報セキュリティの豊富なリソースと安全に関するヒントを、一般の人々にだけでなく、公共機関および民間企業にも提供しています。このようなリソースの一部の例として、下記があります。(英語のみ)

日本国内でのサイバーセキュリティソースについては下記をご参照ください。