経営層と現場の間に横たわるギャップ解消のために心がけたい3つのポイント ――Armoris 取締役専務 CTO 鎌田敬介氏：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

企業経営や組織経営、あるいは国家の運営といった観点とサイバーセキュリティがどう関わるかが中心的な話題になってきている今、経営層との距離を近づけるいくつかのヒントを紹介した。

[高橋睦美，ITmedia]

Armoris 取締役専務CTO 鎌田敬介氏

　「元ゲーマー」ならではの視点も生かしつつ、Armorisの取締役専務CTOや金融ISACの専務理事兼CTOとしてサイバーセキュリティに携わっている鎌田敬介氏。近年は「サイバーセキュリティマネジメント入門」という書籍を上梓するなど、組織運営や運用といった管理的な観点からセキュリティを考察する場面が増えているという。

　世の中を見渡すと技術的にはさまざまなツールが出そろい、ベストプラクティスに関するノウハウも蓄積されてきた。にもかかわらず、サイバー攻撃の被害は止むことがない。

　一体この状況はどうすれば改善に向かうのだろうか。鎌田氏は「経営者とサイバーセキュリティは分かりあえるのか」と題したセッションにおいて、「いよいよ企業経営や組織経営、あるいは国家の運営といった観点とサイバーセキュリティがどう関わるかが中心的な話題になってきています」と述べ、経営層との距離を近づけるいくつかのヒントを紹介した。

セキュリティはITだけの問題ではなく、経営や社会インフラに関わる課題に

　鎌田氏は、近年のサイバーセキュリティの状況の概観から説明を始めた。

　ITやインターネットというものが普及し始めた2000年代前後は、「サイバーセキュリティ」ではなく、書類管理やポリシーも含めた「情報セキュリティ」という言葉が使われており、論点もIT技術の世界に閉じていた。

　だが、徐々にマルウェアやランサムウェア、DDoS攻撃といったさまざまなサイバー攻撃が登場し、状況は変化した。金銭目的でサイバー攻撃を行う「サイバー犯罪者」が登場し、それも単独ではなく、複数のグループが役割分担しながら連携するエコシステムを構築する世界となりつつある。

　「多くの人は、サイバー犯罪者というと暗い部屋に閉じこもってコンピュータに向かっている人をイメージします。ですが、実際のサイバー犯罪者はサイバー攻撃だけを行っているわけではなく、それで入手したリソースを使って麻薬を売買するなど、物理的な世界で行われる犯罪にも手を出しており、サイバー空間と物理空間の境界がだんだん曖昧になっています」（鎌田氏）

　他にも、2010年前後に原子力施設を狙って話題になったウイルス「Stuxnet」のように、サイバー空間の活動が現実世界に影響を及ぼすケースがいろいろな場面で登場している。日本でも、ランサムウェア感染によって病院のオペレーションが止まってしまったケースが記憶に新しい。

　これを受けて、電気やガス、水道といった国民の社会生活の基盤となる重要なインフラをサイバー攻撃などの脅威から守る必要があるという機運も高まり、日本でも、15の分野を対象に重要インフラ保護政策が進められるようになった。

その一環として、サイバーセキュリティを技術的な観点だけでなく、ガバナンス、リスク、コンプライアンスといった組織管理の観点で扱うようになり、さらには、国家安全保障の一部ともなっている。

　こうした変化に伴って、「経営がサイバーセキュリティに関わらなければ、企業の発展や存続に影響が出る」という認識も広がっている。

　その意味で注目したい考え方の1つが、「サプライチェーンリスク」であり、「サイバーレジリエンス」だ。

　「サイバーレジリエンスとは、端的に言えば“しぶとくなろう”という意味合いです。現代社会において、デジタル空間でビジネス活動をしている以上は、必ずサイバー攻撃のリスクにさらされます。仮にそうした攻撃を受けたとしても消えてなくなったりせず、なんとか生き延びて元の世界に戻っていくしぶとさを身につけることが、レジリエンスを高めることだと思っています」（鎌田氏）

　またサプライチェーンに関しては、さまざまな規制が始まりつつあるほか、投資家が投資先を評価する際の視点として盛り込まれたり、あるいはグローバル企業の格付け評価の中にサイバーセキュリティが含まれたりするようになってきている。

　鎌田氏はさらに、「ディスインフォメーション」「フェイクニュース」によって世論が操作される可能性にも留意が必要だとした。「単純なマルウェアやDDoSといったサイバー攻撃だけではなく、“自分が触れている情報は果たして本物なのか”といった意識を持って情報に触れていくことが必要になっています」と話す。

　こうした概観を説明した上で、企業としてのリスク管理や経済安全保障、インフラへの影響など、サイバーセキュリティはさまざまなところに関わっており、デジタル化が進む中、セキュリティをセットで考えなければならないと指摘した。

重要性は認識しながらもなお存在する、経営層と現場のギャップ

　サイバーセキュリティを経営課題と捉え、取締役会などで取り上げる機運が高まり始めたのはいいが、課題もある。

　「経営側は、サイバーセキュリティをもっと知り、何をしなければいけないかを理解したいと思っています。一方現場からはもっと経営層に関心を持ってほしいといった声もあり、両者の間にギャップが存在するのが現在の状況です」（鎌田氏）

　鎌田氏もそんな要望に応えるべく、多くの企業の経営会議に招かれ、話をすることが多い。そんな中で感じるのは、コミュニケーションがうまくいっていないことだ。

　最近ではセキュリティ担当者が定期的に経営層に報告を行う場面が増えた。テクニカルタームを駆使して技術的な話をしても通じないのは当たり前で、なるべく噛み砕いて説明を試みる担当者も増えているが、それでも役員側は多くの場合、「正直、よく分からないな」と思いながら聴いているのが実態だという。