英国に浸透する、サイバー保険を“意識せざるを得ない”環境
サイバーセキュリティの世界に、経営者として20年以上携わっている足立照嘉氏。英国政府から招かれ、ロンドンでサイバーセキュリティの専門家として、大手金融機関や政策立案のアドバイザリーなどを行ってきた経歴を持つ。現在、サイバーセキュリティ企業APRIO TECHNOLOGIES(アプリオ・テクノロジーズ)でCEOを務める同氏は、英国のサイバーセキュリティの現況をどう見ているのか。
「英国はセキュリティリテラシーが高いと言われているが、その経緯には同国で盛んなビジネス市場が関係している」と同氏は語る。英国、特にロンドンは“リスク関連”における取引の中心地として、市場が成熟しているとのことだ。たとえば、ロンドンにあるロイズ・オブ・ロンドン(Lloyd's of London)という保険取引所では、世界の保険引き受けの半数以上が取引されている。
また、ロンドンでは大航海時代から、航海に出る船が帰還できるかどうかを巡ってパブで賭け事が行われていたと足立氏。これは、実質的には現在の海上保険と似たような文化といえる。このような背景を踏まえ、サイバー保険に関する取引も盛んに行われてきた。
「加えて、英国にはサイバー保険を必然的に意識せざるを得ない環境があります。というのも、同国では通常の商取引における契約書の中に、自社が入っている保険とそれによりカバーされるリスクなどを記入する欄があるのです。これは日本ではあまり見られない事象かと思いますが、こういった日常生活に根付いた部分から、セキュリティリテラシーが育まれているのだと思います」(足立氏)
ほかにも、英国国家サイバーセキュリティセンター(NCSC)によって開発された「サイバーエッセンシャルズ(Cyber Essentials)」というITセキュリティの認証制度があると同氏。この認証を取得しなければ、政府関連の案件に入札できない仕組みになっているという。つまり、入札のスタートラインに立つためには、サイバーセキュリティ要件をクリアする必要があるのだ。
「サイバーリスクは経営ごと」という意識の“先”で必要なこと
このように、サイバーセキュリティの意識が日本よりも身近なところにある英国だが、国民全体のリテラシーの高さについては、日本と比較して劇的な差はないと足立氏は語る。ビジネスにおいて上層部の立場にいる者であれば、プライベートでもセキュリティを意識している人も多いだろうが、一般人のリテラシーにさしたる違いはないのが実情とのことだ。
英国のエンタープライズ企業が抱えるセキュリティ課題についても、日本企業と大差はないと同氏。セキュリティ対策を進めたうえで、「次に何をすればよいか」悩んでいる企業が多いという。この問題を解決するにあたって障壁になることが、“ビジネスへの紐づけ”だ。
たとえば、「CV○○番の脆弱性がこのIPアドレスのサーバーにあり……」などと経営層に説明しても、ではどこから対応すべきかという意思決定につなげるのは難しい。英国ではCISOを設置している企業も多く、CIOのセキュリティリテラシーも高まっているものの、その問題をうまくビジネスに落とし込める人が少ない傾向にあるとのことだ。
「昨今、『サイバーリスクはIT部門固有の問題ではなく、経営課題である』という意識こそ浸透していますが、その先が広がらないという状況です。この状況を打破するために重要なのが、“優先順位付け”です。英国で、我々がお客様によく使う言葉として『クラウンジュエル(Crown jewel)』というものがあります。同国の国王や女王が被っている王冠の中で、最も価値が高いものは『王冠についている宝石』です。自社にとってのクラウンジュエル、つまり第一優先で守るべきことは何かと問いかけることが大切です」(足立氏)
