サイバーセキュリティの地固めは経営、人材、情報共有で
サイバーセキュリティ対策の基盤整備として、奥家氏は経営、人材、情報共有について順に触れた。
経営
経済産業省はサイバー経営の確立に向けて3ステップのアプローチで進めている。まずは「定義すること」で、サイバーセキュリティ経営ガイドラインの策定・普及や定着、続いて「サイバー経営を促す仕組み」として、コーポレート・ガバナンス・システムのガイドラインとりまとめや取締役会実効性評価にサイバーリスク組み込みを促進、最後に「取組の可視化」としてサイバーセキュリティ経営に関する情報開示のありかたの検討という流れで進めていく。
興味深いデータとして、大阪商工会議所が実施した調査がある。大阪市内の中小企業30社にセンサーを設置してパケット情報を分析したところ、30社全てにおいて不正な通信が確認され、うち数社は深刻な状態だったという。主に外部から社内端末へのリモート操作、悪性サイトとの通信、DDoS攻撃を目的とした通信などが見られた。
中小企業には「中小企業の情報セキュリティ対策ガイドライン」があり、2019年3月に第3版が公開されたところ。また中小企業がセキュリティ対策に取り組むことを自己宣言する制度「SECURITY ACTION」がある。IT導入補助金の申請要件でもあり、2019年7月末時点で8万社が宣言している。
更に現在、中小企業への支援体制を構築するため、損保会社、セキュリティベンダー、地域の商工会議所などが連携して、中小企業のセキュリティ支援を行う「サイバーセキュリティお助け隊」を開始したところである。このプロジェクトの成果を受け、自動車保険のように手軽な料金で素早く対応できる民間サービスが開始されることを目指し、まずは現状把握から実証事業を始める。
実証対象となる中小企業にはUTM(統合脅威管理)を設置して常時監視し、普段は相談やリモートサポートを実施し、何かあれば駆けつけて対応や復旧支援を行う。
人材
サイバーセキュリティ人材に関する全体像も整理している。現状ではどの資格があれば何ができるのか紐付けがされておらず、人材活用モデルがないと人材の流動性や給与の適正化につながらないためだ。
サイバーセキュリティ経営を進める戦略マネジメント層の育成も進めている。IPA産業サイバーセキュリティセンターやビジネススクールが協力して戦略マネジメント層向けのセミナーやカリキュラムを実施している。若年層の育成には国立高専機構と産官との連携が進むように検討しているところだ。
情報共有
IPAが重要インフラ事業者に対するサイバー攻撃情報共有体制(J-CSIP:Initiative for Cyber Security Information sharing Partnership of Japan)を構築し、現在15業種、262組織が参加している。
日本の強みを活かしてエコシステム構築、情報セキュリティサービス審査登録制度も
サイバーセキュリティをビジネスとして創出するためにはエコシステムの構築も重要となる。まずは官民対話となる場を設けた。2018年6月にコラボレーションプラットフォームをIPAに設置し、情報交換やビジネスマッチングを促進している。毎回好評だという。
また包括的なサイバーセキュリティ検証基盤を構築して「Proven in Japan」として日本の売りとしていく考えだ。日本の強みは高品質な製品を作りあげるところにあり、検証が得意だとも言える。それをサイバーセキュリティに当てはめ、信頼できるセキュリティ製品やサービスを促進したり、ハイレベルな検証サービスの拡大を狙う。
中小企業がセキュリティサービスを選定するにあたり、参考になるのが「情報セキュリティサービス審査登録制度」だ。基準を満たしたセキュリティサービスが公開されている。
最後に奥家氏は次のように呼びかけて講演をまとめた。「サイバーセキュリティの取り組みは社会一体となり、いろんな人が協力して初めて実現できるものです。私たちは皆さんの声、批判、支援が必要です。皆さんも自分のことだと思ってください。誰かがやってくれるわけでもなく、自分たちだけでできるものでもありません。できるだけ多くの人と問題意識を共有して一緒に取り組んでいけたらと思います。ご協力、どうぞよろしくお願いいたします!」
