BCPとして認知されつつあるサイバーレジリエンス
──川口さんが所属されている東京海上ディーアールと、現在のお仕事について簡単に教えてください。
2010年4月に東京海上日動リスクコンサルティングに入社し、去年の夏より東京海上ディーアールという現在の社名となり、そのまま所属しています。その名の通り、さまざまなリスクに関する調査研究やコンサルティング事業を行っている会社です。加えて、社名変更後はデジタル分野のコンサルティングを強化しています。社名の「ディーアール(dR)」には、手段としての「d」(data/digital/design)を活用して、様々な「R」(例:Resilienceなど)を実現し、社会に新たな価値を届けたいとの想いを込めています。
私の担当は政治リスクやサイバーリスクという領域です。政治リスク分野では経済安全保障や東アジア有事などに関するもの。サイバーリスクに関しては、企業の事業継続やリスク対応といった観点で支援させていただいています。具体的には、サイバーインシデント対応というよりも、サイバー攻撃をふまえたBCP(事業継続計画)策定や攻撃発生時の対応演習等です。
──近年、BCPの一環としてサイバーレジリエンスが注目されつつあります。川口さんはこのサイバーレジリエンスについてどのような見解をお持ちでしょうか。
サイバーレジリエンスに関する定義がサイバーセキュリティ業界のものとは異なるかもしれませんが、サイバーレジリエンスとは「一度被害を受けることを前提にしているが、速やかに復活・復旧をする」もしくは「被害を受けるが、最低限の機能は継続する」ことだと私は考えています。
ポイントはやはり、「被害を受けることを前提とする」という点、つまり「サイバー攻撃で侵入を受けたり、被害の発生を前提とする」ということです。もちろん、IT部門やセキュリティ部門の皆さんは予防を前提としていると思います。もっとも、サイバーリスクをゼロにするのはほぼ不可能なので、被害を受けた時にどうするか、いかに早く復旧をするのか、あるいはITインフラが止まったとしても、いかにミッションを継続するのか。この視点が「レジリエンス」であり、BCPそのものだと考えます。
10年近く前から世界経済フォーラムなどで「レジリエンス」という言葉が多く用いられたことで、日本でも各所で耳にするようになりました。内閣官房が掲げる国土強靱化もそうですし、弊社のようなリスクマネジメント業界でも「レジリエンス」という言葉は盛んに用いられているという印象があります。
──BCPの観点からでも、サイバーセキュリティの案件は増えていますか?
この数年間で間違いなく増加しています。特に大規模なサイバー攻撃が発生したり、被害が大きい事案の直後は照会が増えます。
ここ数年の相談として多いのは、ランサムウェアに感染した場合の全社的な対応や事業継続ですね。また、よく「身代金は支払われますか」と聞かれますが、「払うべきではない」と回答しています。なぜなら、一度犯罪者に資金を支払うと将来、再び狙われる可能性があるからです。なお、身代金の支払い状況はアメリカなどが支払い率が高い一方で、日本では低いというデータもあります。これは日本社会の反社的行為に対する許容度の低さを反映しているでしょう。
