サイバーセキュリティ対策は経営課題――もはや"やらない"という選択肢はない

経済産業省が「サイバーセキュリティ経営ガイドライン」を公開して1年余り。経営者の覚悟や現場の取り組みなど、企業のサイバーセキュリティ対策はどのように変化しているだろうか。

» 2017年02月27日 10時00分 公開
[PR/ITmedia]
PR
アイティメディア エグゼクティブ・プロデューサー 浅井英二

経済産業省が、2015年12月に「サイバーセキュリティ経営ガイドライン」を公開して1年余り。企業のセキュリティ対策は、どのように変化しているのだろうか。経営者の覚悟やIoT化を進める現場の取り組みなど、セキュリティ対策の現状と今後の展望などについて、デロイト トーマツ リスクサービスの代表取締役社長である丸山満彦氏とNECのサイバーセキュリティ戦略本部シニアエキスパートである吉府研治氏にアイティメディア エグゼクティブ・プロデューサーの浅井英二が聞いた。

経営ガイドライン公開から1年で何が変わったのか

デロイト トーマツ リスクサービス 代表取締役社長 丸山満彦氏

浅井英二(以降、浅井) サイバーセキュリティ経営ガイドライン(以降、経営ガイドライン)が公開されてから1年余りが経過しました。現在、サイバーセキュリティに対する企業の取り組みは進んでいるのでしょうか。

丸山満彦氏(以降、丸山) 経営ガイドラインは、いままでのサイバーセキュリティ対策が整理されたという印象で、これまでサイバーセキュリティに携わっている人からすると、内容自体に特に目新しいものはありませんでした。ただ、経営者が認識する必要がある「3原則」とサイバーセキュリティ対策を実施する上での責任者となるCISO(最高情報セキュリティ責任者)などに指示すべき「重要10項目」に分類されたことで、全体がとらえやすくなりました。経営者が「サイバーセキュリティは経営課題の1つである」ことを意識すべきという内容になっているので、公開した意味は大きいと感じます。

NEC サイバーセキュリティ戦略本部 シニアエキスパート 吉府研治氏

吉府研治氏(以降、吉府) この1年間で、経営者の意識が大きく変わってきたと思います。経営者と情報システム部門の両方に話を聞く機会がありますが、特に経営者から具体的なアドバイスを求められるようになりました。これまで経営者向けのガイドラインはなかったので、その効果が出始めていると感じています。

 一方、情報システム部門にとっても効果があります。以前はサイバーセキュリティ対策について、予算面などで経営者の承認をとるのに、難儀する事が多かったのですが、経営者向けのメッセージが出されたことで、経営者の理解を得やすくなっています。

出典:(独)情報処理推進機構「サイバーセキュリティ経営ガイドライン解説書」「ガイドラインの3原則と重要10項目の概要図」を基に作成

浅井 情報システム部門の取り組みとしては、いかがでしょう。

吉府 これまでにも、実務者向けのガイドラインは、数多く公開されていましたが、情報処理推進機構(IPA)が経営ガイドラインの内容を、実務者に向けて具体的な実施方法を示した「サイバーセキュリティ経営ガイドライン解説書」を公開しています。これは、大企業と中小企業の事例が用意され、経営ガイドラインの内容を自社のサイバーセキュリティ対策にあてはめるときに、どのレベルで実践すればよいかの指針となります。

 また、中小企業向けには同じくIPAから「中小企業の情報セキュリティ対策ガイドライン」が公開されています。ここでは、もう少し基本的なセキュリティ対策が紹介されています。

サイバー攻撃の影響を経営者はどれだけ答えられるのか

浅井 経営ガイドラインでは、経営者のリーダーシップや責任が強調されており、IPAの「解説書」では、そのことを分かりやすくするため、経営者に対して3つの問いとして投げかけています。まず、「ネットワークが1週間遮断された場合のビジネスへの影響度が分かりますか?」という問いに、どれくらいの経営者が答えられるでしょうか?

丸山 これに経営者が答えるのは、なかなか難しいでしょう。今の企業の多くは、あたり前にITを利用していますが、ネットワークが1週間遮断された場合のビジネスへの影響をイメージできている人はあまり多くありません。今後は、PCはもちろん、スマートフォンなどITを駆使してビジネスを展開していきます。若い経営者が増え、影響度の理解は進むと思います。

浅井 問題が発生した場合に、システムを止めるかどうかの判断も難しいところですが……。

丸山 システムを止めるか、止めないかには、責任能力と決断能力が必要です。例えば、新たに工場を建設するには時間をかけて検討しますが、同じ経営判断でもサイバーセキュリティは「今」システムを止めるかどうかの決断をしなければなりません。システムを止める場合、判断する人と決断する人が別のことがあります。経営者と現場責任者の間に「あいつが言うならシステム停止に踏み切る」という信頼関係がないと実質的には難しいです。

吉府 システムを止めると、ビジネスに大きなインパクトがあります。このとき経営者がいかに判断するか難しい決断となります。そこで、問題が発生してから判断するのではなく、どのように判断し、どのように事業を継続するのかを前もって想定しておくことが重要です。

浅井 2つ目の問いかけ、「自社への被害が想定されるサイバー攻撃について、社内に聞ける人がいますか?」はいかがでしょう。

丸山 これに関しては、サイバーセキュリティの専門家を社内に置いておくかどうかという問題もあります。大企業は可能でしょうが、中小規模の企業では、専任を置くのはコスト的にも困難です。少なくとも、外部の専門家と話ができる体制を確立しておくことが必要です。中小企業はそれも困難かもしれません。

吉府 経営ガイドラインの中でも、CISOを設置すべきと記載されているように、サイバーセキュリティを理解し、経営者に進言できる立場の人は必要でしょう。また、高度な対策に関しては外部の専門家に任せるにしても、ある程度サイバーセキュリティの知識があり、外部に相談できるコネクションがあり、情報収集ができる人材は必要です。NECでは「【無償診断】サイバーセキュリティ経営ガイドラインに基づく簡易リスクアセスメント」を、ウェブサイトで公開し、お客様自身が自社の状況をチェックできるようにしていますが、その結果でもセキュリティ人材や体制面での課題が上位を占めています。コンサルを仰ぎながら最終的に自社で判断できればよいと思います。

浅井 3つ目の「情報漏えい事故や事件発生後にどのように状況を報告し、信頼を維持・回復しますか?」というのは、当事者としての意識を問いかけていますね。

丸山 「情報漏えい事故や事件」を「震災」や「粉飾決済」に置き変えると分かりやすいのではないでしょうか。信頼を維持・回復するためにやるべきことは変わりません。どのリスクでも被害者に謝罪し、今後の方針を明確にして、引き続き応援してくださいという誠意を見せることです。投資か経費かという話もありますが、経営上のリスクマネジメントの1つと捉える必要があります。サイバーセキュリティは、特別なリスクではなく、企業が抱える多くのリスクの内の1つなのです。

セキュリティ対策は製造現場にも求められる

浅井 これまでは、ITのセキュリティが議論の中心でしたが、製造現場ではIoTの導入が進み、新たな攻撃のターゲットになろうとしています。さらに、製品のIoT化も始まっており、製品の設計開発段階からサイバーセキュリティ対策を組み込むことも求められています。こうした分野の重要性についてはいかがでしょう。

吉府 NEC自身も製造業なのですでに取り組んでいますが、製造業のサイバーセキュリティ対策は、情報システム部門、工場、製品開発部門の3つで考えることが必要です。これまでは、情報システム部門が先行して対策を行い、工場は少し遅れている状況でした。今後は、製品開発部門で、サプライチェーンも踏まえた対策が重要です。

 これが重要なのは、サプライチェーンを構成する企業に脆弱性を作りこんでしまう要因があると、製品全体のリスクになるためです。特に、IoT時代になると、つながることが前提なので、完成品だけではなくシステムや製品を構成する部品においてもセキュアに開発しなければなりません。2016年12月に公開された経営ガイドラインの改訂版(バージョン1.1)では、システムはもちろん、製品のサイバーセキュリティ対策に関しても、経営者が理解しておくことが重要と言及されています。

 NECでは、お客様に納入するシステムや製品に対し、企画・設計段階から考慮する「セキュリティ・バイ・デザイン」という考え方を採用しています。これにより、企画・設計から要件定義、構築、運用、保守までのライフサイクル全体にわたるサイバーセキュリティ対策を向上させる取り組みを推進しています。

サイバーセキュリティ確保で経営者に必要な覚悟

浅井 サイバーセキュリティの確保・維持には、経営者に相当の覚悟が求められると思います。ずばり、その第一歩は何でしょうか。

丸山 今後さらに、ITが経営資源の一部として大きな比重を占めてきます。以前は、電話とFaxがあれば仕事ができましたが、現在はITなしにビジネスは考えられません。そこで、基本的なサイバーセキュリティが分かる人材、対策ができる人材が不可欠です。重要性を認識し、重要10項目を実践する覚悟が必要です。もはや「やらない」という選択肢は、企業にはないのです。

吉府 現在、経営者がサイバーセキュリティに関して、目にしない、耳にしない日はありません。そのため多くの経営者の意識は高まっていると思います。しかし、どこまで対応すればよいかが悩みどころでしょう。

 経営者が踏み出すべき最初のステップとして、すべて現場任せにするのではなく、まずはどこまで対応できていて、何ができていないのか現状を把握することです。これにより、自社でやるべきこと、専門家に任せた方がいいことを切り分け、対策が不十分な部分を強化します。いきなり完璧なサイバーセキュリティ対策を実現することは困難です。必要なところからスタートし、効果を確認しながら徐々にステップアップしていくことが成功の近道です。

Changer

資料ダウンロード

「社長、大変です」ではもう遅い 今すぐ始めるセキュリティ3原則と重要10項目

サイバー攻撃の脅威は全ての企業に拡大し続け、法人も個人も経営責任を問われるケースが増えている。「今まで大丈夫だったから」では済まされない、経営者が今すぐ取り組むべき心構えを漫画とストーリーで解説する。


Copyright © ITmedia, Inc. All Rights Reserved.


提供:NEC
アイティメディア営業企画/制作:ITmedia エグゼクティブ編集部/掲載内容有効期限:2017年3月26日

関連特集

ホワイトペーパー

サイバー攻撃の脅威は全ての企業に拡大し続け、法人も個人も経営責任を問われるケースが増えている。「今まで大丈夫だったから」では済まされない、経営者が今すぐ取り組むべき心構えを漫画とストーリーで解説する。