今、サイバーセキュリティは「ITの課題」から「経営の課題」へ：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

企業がサイバーセキュリティに対して経営課題として取り組むよう求められる中、一体どんな戦略やテクノロジーが有効となり得るのか。さまざまな切り口から提言が行われた。

[吉村哲樹，ITmedia]

　ITmediaエグゼクティブ編集部主催の セミナーが「サイバーセキュリティ対策のあるべき姿 顧客の安全・安心を世界トップクラスのセキュリティで」をテーマに開催された。

　国内を代表する情報セキュリティ専門家や、セキュリティ製品・サービスベンダーのエキスパートが登壇し、情報セキュリティに関する最新動向や、セキュリティ対策を行う上で役立つ技術や製品の紹介などが行われた。

セキュリティ対策の優劣が企業価値の差別化要因となる

内閣府参与 齋藤ウィリアム浩幸氏

　基調講演には内閣府参与（科学技術・IT戦略担当） 齋藤ウィリアム浩幸氏が登壇し、「"情シス、頑張れ"に悲鳴？　グローバル化とIoTで不可欠となる経営層の関与」と題した講演を行った。

　齋藤氏はさまざまな資料を引用しながら、日本が海外先進国と比べ相対的にICT活用に消極的であり、そのことが国全体の生産性の低さや次世代サービスビジネスへの進出の遅れにつながっていると指摘する。主たる原因として、情報セキュリティに対する不安にとらわれている点を挙げる。

　「インターネットは、セキュリティがあってこそ初めてビジネスで活用できる。ITがあるからセキュリティが必要になるのではなく、むしろセキュリティがITをドライブしていると心得た上で、情報セキュリティにより積極的に取り組むことでインターネットとICTの活用を推し進めていくべきだ」（齋藤氏）

　しかしその一方で、サイバー攻撃は年々進化のスピードを速めており、現在では金銭目的の組織犯罪や、国家レベルのスパイ活動、果ては戦争における攻撃手段としても利用されるようになってきている。また近年の脅威はサイバー空間のみならず、物理的な設備の破壊や無力化を目的としたものも多く見られる。さらにIoTの普及によって、IT機器だけではなく家電やオフィス機器、自動車なども含んだ、ありとあらゆる電子機器がハックのターゲットになっている。

　そんな中、企業や組織は「認証」「完全性・正確性」「承認」「説明責任」「機密性」「否認不可性」「自己情報管理」「可用性・有効性」の8つの分野に渡ってセキュリティ対策を講じる必要がある。しかしこれだけ広範な取り組みを行うとなると、多くの企業はどうしても「手間が掛かる」「コストがかさむ」「システムの利便性が低下する」と消極的になりがちだ。

　「多くの企業はセキュリティ対策の"安全性"と"コスト"は重要視する一方で、"利便性"をあまり考慮しないために、セキュリティ対策に対してネガティブな印象を抱きがちだ。そうではなく、利便性もきちんと担保した対策を業界挙げて実現できれば、企業はセキュリティ対策で不便を強いられるどころか、逆にきちんとした対策をとることで自社の企業価値を高めることができる」（齋藤氏）

　またこれまで携わってきたさまざまな危機管理や災害対策活動の経験から、アクシデントを100％防ぐことは無理なので、アクシデントに見舞われた際のレジリエンス（復元力）が必要になるという教訓を得たという。

　「そのためには、既存の国家や組織の枠組みを超えて攻撃を仕掛けてくる相手に対して、こちらも縦割りの組織に横串を入れて、全社レベルで対応できる体制を整えておく必要がある。また被害が生じた際、現場ですぐ犯人探しや隠蔽に走るのではなく、いち早く経営層に情報をフィードバックできるコミュニケーション文化を醸成しておくことも極めて重要だ」（齋藤氏）

政府が推進するサイバーセキュリティ戦略の全体像

内閣官房 内閣サイバーセキュリティセンター 副センター長 三角育生氏

　特別講演には内閣官房 内閣サイバーセキュリティセンター（NISC） 副センター長 三角育生氏が登壇し、「我が国のサイバーセキュリティ政策について」と題した講演を行った。

　2014年11月に成立、翌年1月から施行が始まったサイバーセキュリティ基本法に基づき、政府は2015年9月、「サイバーセキュリティ戦略」を閣議決定した。今後3年間を見据えたサイバーセキュリティ対策への取り組みの戦略と方針を取りまとめたもので、三角氏によれば基本的なコンセプトとして「後手から先手へ」「受動から主導へ」「サイバー空間から融合空間へ」の3点を掲げているのが特徴だという。

　「近年、サイバー攻撃の影響はサイバー空間だけでなく現実の物理世界にも及びつつあり、その社会的影響力は年々拡大している。一方で企業が国際競争を勝ち抜き、ひいては日本全体の国力を維持していくためには、ICTの活用はもはや不可欠だ。であれば、企業はサイバーセキュリティ対策に対して受け身ではなく、主体的に取り組むことでICTをより有効に活用し、競争力を高めていくことができる」（三角氏）

　この目的を達成するために、政府のサイバーセキュリティ戦略では3つの方向性で施策を講じていくべきだと提言している。1つは「経済社会の活力の向上および持続的発展」。いまやICTはあらゆる経済活動・社会活動に不可欠であり、よってICTをより安心して使えるようにするためのサイバーセキュリティ対策に掛かるコストは"費用"ではなく"投資"ととらえるべきだ。

　2つめが「国民が安全で安心して暮らせる社会の実現」。これまでのサイバーセキュリティ対策が主たる目的としてきた領域であり、国民や社会、重要インフラ、政府機関などをセキュリティリスクから守り、ビジネスや社会生活の安全を確保するための施策全般の強化を指す。

　そして3つめに挙げられているのが、「国際社会の平和・安定および我が国の安全保障」というカテゴリーだ。先述のように、サイバーセキュリティの脅威がサイバー空間だけでなく物理空間にも大きな影響を与えるようになってきた昨今、サイバーセキュリティを国家の安全保障の課題としてとらえる重要性がますます高まっているという。

　加えて、こうした取り組みを進めていく上では、研究開発と人材育成の施策が極めて重要だとサイバーセキュリティ戦略では論じている。

　「サイバーセキュリティに関する学際的な研究開発の取り組みを日本独自で進めるとともに、サイバーセキュリティ人材の育成もより推し進める必要がある。高度なスキルを持った技術者はもちろんだが、それ以上に技術の現場とビジネスとの間を橋渡しできる人材の育成が急務だと考えている」（三角氏）

国内きってのエキスパートが語る「サイバーセキュリティと経営」

ベネッセインフォシェル 代表取締役社長 丸山司郎氏（右）ラック 取締役 専務執行役員 CTO 技術戦略担当 兼 CISO情報セキュリティ担当 西本逸郎氏

　特別講演2としてベネッセインフォシェル 代表取締役社長 丸山司郎氏と、ラック 取締役 専務執行役員 CTO 技術戦略担当 兼 CISO情報セキュリティ担当 西本逸郎氏をパネリストに招いたパネルディスカッション「セキュリティ脅威の最新動向と今求められる情報システム部門の覚悟」が行われた。

　モデレータを務めたアイティメディア エグゼクティブプロデューサー 浅井英二の「サイバーセキュリティの最新動向と、企業が抱えている課題についてどう見るか？」という質問に対して、西本氏は真っ先に、2015年12月に経済産業省およびIPAから公表された「サイバーセキュリティ経営ガイドライン」の話題を取り上げた。

　「さまざまな種類の攻撃の垣根が取り払われ、サイバー攻撃を使った金融犯罪の被害が拡大する中で、国が企業経営者に対してサイバーセキュリティ対策に主体的に取り組むよう明確に求めたものだと理解している。社内にCISOやCSIRTを置くよう求めているが、これらの役職や組織がきちんと機能するためには、業績評価の指標とスキームの整備が不可欠だろう」（西本氏）

　丸山氏は長年セキュリティ業界から企業をサポートしてきた経験と、ユーザー企業の経営者としての立場から、次のように述べる。

　「多くのの企業はセキュリティ対策を行っていると考えているだろうが、事故発生を想定した訓練を普段から行っておくことが大事。加えて、いざ事故が起きた際にシステムを思い切って止められるかどうかも、被害拡大を防ぐ上では極めて重要だ」

　また、いざというときに経営層が決断を下すためには、情報システム部門から経営層に対して、情報がスムーズに伝えられるような仕組みを日頃から整えておくことが重要だと両氏ともに強調している。

　「現場の技術者は、ともすると"自分たちの考えは正しい""正しいのだから、経営層にも伝わるはずだ"と考えがちだ。しかしたとえ正しくとも、経営層に理解できない内容が伝わることは決してない。伝わるのは"相手に理解できる言葉だけだ"ということを肝に銘じて、情報システム部門は経営層とのコミュニケーションに臨む必要があるのでは」（丸山氏）

　「そもそも"情報システム部門が自社システムのウィークポイントを認識できていない"という問題もある。まずはシステムの現状を可視化し、問題点を把握した上で、不測の事態が起きた際に経営層に分かりやすく簡潔に状況と選択肢を伝えられるよう、平時から準備しておくことが大事だ」（西本氏）