経営者はサイバーセキュリティ対策にどう取り組むべきか
経済産業省が考えるサイバーセキュリティ対策を見てみよう。政府機関を守る取り組みとして、サイバーセキュリティ基本法や情報処理促進法などの法整備がある。企業を守る取り組みとして、各種ガイドラインを策定するほか重要インフラ事業者のリスク評価、情報共有や初動対応支援体制強化などがある。また基盤整備のための取り組みとして、人材育成や国際連携を進めている。
出所:経済産業省 商務情報政策局 サイバーセキュリティ課
Security Online Day(主催:翔泳社)講演資料より[クリックすると図が拡大します]
ここでは企業経営者が何をすべきかに目を向けよう。サイバーセキュリティの脅威は広がりつつあるものの、はじめは企業がどのように対策すべきか途方に暮れてしまうことだろう。なにせサイバー攻撃は自然災害や多くのリスクと異なり、肌感覚としては把握しがたい。
石見氏によると、企業のサイバーセキュリティ対策の大まかなプロセスは「認識」、「実施」、「定着」の3段階となる。まずは脅威の「認識」から始める。企業内にどの程度のリスクが実在するかを把握するということ。次に費用対効果も考慮しつつ社内システム改善や人材育成など、セキュリティ投資を「実施」する。実施できても安心してはならない。サイバー攻撃の動きは速いため、最新の脅威に対応しているか定期的に見直す必要がある。このサイクルを回していくことで「定着」を図り、継続的に改善できるようにする。
先述したように経済産業省の企業向け取り組みには各種ガイドライン策定があり、その中に「サイバーセキュリティ経営ガイドライン」(以下、当ガイドライン)がある。これは企業の業種や規模によらず、経営者が理解すべきサイバーセキュリティ対策の指針となる。
かつてのサイバーセキュリティ対策ではIT担当者が行うものというイメージがあったが、今では経営者もきちんと関与する必要がある。なぜならサイバーセキュリティを含めてITにどれだけ投資をするかは企業戦略であり、経営判断になるため。特に事業継続性の確保やサイバー攻撃への防衛力向上は企業価値向上にもつながる。また実際に情報漏えいや社会に損害を与えてしまう事態となれば、経営者は経営責任を問われることにもなる。
近年では実際にサイバー攻撃に直面する企業も増えてきている。IPAの調査によると、2015年に実際にサイバー攻撃の被害を受けたと回答した企業は9.2%、被害はなかったが攻撃をうけた企業は27.9%。合わせると37.1%が何らかの攻撃を受けたことになる。
逆に言えば「6割程度はまだ攻撃に遭っていない」と考えることもできるが、果たしてどうか。攻撃を受けたと「気づいていないだけ」かもしれない。セキュリティ企業のFireEye調査によると、インシデントが発覚した経緯の約半数は「外部からの指摘」とある。外部から指摘されるまでは被害が生じていることに気づいていないケースは少なくない。
特に標的型攻撃になると巧妙に潜伏して情報収集するため、攻撃を検知するのが難しい。先のFireEye調査によると、セキュリティ侵害の発生から検知に要した日数はAPAC(アジア太平洋地域)の平均では172日と長い。なお世界平均は99日。グローバルなコンサルティング企業の調査を見ると、日本では法制度や社会的な圧力が異なるためか、海外と比較して経営者の意識が低いこともうかがえる。
石見氏は「セキュリティ対策はコストではなく投資」と念を押す。コストと考えてしまうと「できるだけ削減しよう」と消極的になるためだろうか。コンサルティング企業の調査によると、投資と考える経営者のほうが「十分に予算を確保できている」と回答する割合が増える。予算が多ければいいとは限らないものの、コストと考えて縮小を狙うとリスクを増やしてしまう可能性もありそうだ。
また石見氏は「セキュリティは設計段階から考慮することが大事」と説く。家で考えればできあがってから防犯装置を付け足すのではなく、最初から防犯を意識して設計図を描くというイメージだ。
