米国では企業にセキュリティの報告義務、日本にもこの潮流は来る?
2024年はCyberArkにとって、創業25周年、NASDAQ上場から10年を迎える節目の年だ。創業時と現在のサイバーセキュリティ環境とでは、「昼と夜ほどの違いがある」とモカディ氏。創業当初は、欧米でもサイバーセキュリティへの投資の重要性はそれほど認識されていなかったが、現在では世界中で最優先の経営課題の一つとなっている。
創業時から、CyberArkは「特権アクセス」にまつわる管理・セキュリティソリューションを提供してきた。最初は銀行での導入から始まり、やがて保険、航空、製造業などへとユーザーを拡大していった。今では、世界中で9000社に及ぶ顧客を抱えている。
サイバーセキュリティにおける日本の状況について、モカディ氏は「まだ『緊急性のある課題だ』という認識は十分に浸透していないが、少しずつ改善は見られている」と話す。また、米国の企業や政府のように、サイバーセキュリティが上層部にて重要課題だと認識され、「信頼こそが企業存続の基盤」という意識がより浸透していくことに期待を寄せた。
米国でサイバーセキュリティが取締役会レベルの課題になった背景には、証券取引委員会(Securities and Exchange Commission:SEC)の存在がある。現在、SECは国内の企業に対し、サイバー攻撃による影響について4日以内に回答できるよう求めている。
さらにSECは上場企業に対し、新たな要求として「取締役会に、サイバーセキュリティに精通した取締役を少なくとも1人は置く」ことの追加を検討しているという。
「この動きは日本でも、今後何らかの形で広がっていくでしょう。今や業種を問わずすべての組織が数多のデジタルテクノロジーを運用しており、それを安全に継続できるセキュリティ体制は必要不可欠だからです」(モカディ氏)
ウディ・モカディ(Udi Mokady)氏
日本でもここ数年、重要インフラや有名企業においてサイバーインシデントが頻発しており、政府も対策に乗り出した。
特に、2024年5月10日に成立した「重要経済安保情報の保護及び活用に関する法律」に基づくセキュリティ・クリアランス制度は記憶に新しい。これは国家の情報保全措置として、安全保障上重要な情報にアクセスする者の信頼性を確認し、アクセス権限を認める仕組みだ。いわゆる「特権ID管理」のような取り組みだといえる。こうした進展により、日本が他のG7諸国と同水準のセキュリティレベルに追いつくことが期待されている。
