Action(活動) 週刊 経団連タイムス 2018年11月1日 No.3383  経営課題としてのサイバーセキュリティ -21世紀政策研究所 解説シリーズ/21世紀政策研究所研究委員(日本電気セキュリティ研究所主席技術主幹) 武智洋

武智研究委員

企業活動のすべてがIT化・デジタル化してきており、経営戦略はデータ活用を中心としたデジタル戦略が不可欠になってきている。

また、世界経済フォーラムのグローバル・リスク・レポート2018では、第3位にサイバー攻撃、第4位に情報窃取・窃盗がグローバルリスクとして取り上げられており、サイバーリスクはビジネス上のリスクであるという認識が高まっている。

「経団連サイバーセキュリティ経営宣言」では、Society 5.0 に向けて価値創造とリスクマネジメントの両面からサイバーセキュリティ対策に努めることが経営の重要課題としている。セキュリティは、企業経営と“コインの裏表”の関係であり、今後のビジネスイノベーションを支える基盤である。

では、経営者として、どのようにサイバーセキュリティに取り組めばよいのか。経済産業省「サイバーセキュリティ経営ガイドライン」では、経営者が認識すべき3原則として、「経営者のリーダーシップ」「サプライチェーンのセキュリティ対策の徹底」「情報開示と関係者とのコミュニケーション」を挙げている。

■ 経営層の意識改革とリスクマネジメントとしてのサイバーセキュリティ

経営者は、まずは必要なリソースを確保し、事業部門から総務、経営企画などの管理部門に至るまで会社全体の業務に関連するサイバーリスクを認識し、継続的に状況把握・対応する体制を構築する必要がある。その体制を定期的に経営会議・取締役会などでレビューするようにし、自社のビジネスにおけるリスクマネジメントとして、経営層が関与する体制を整える。

また、企業が提供する製品・サービスにおいてもセキュリティを意識する。製品やサービス等の設計の段階からセキュリティを組み込む“セキュリティ・バイ・デザイン”によって、新ビジネスを立ち上げる段階からビジネス全体プロセスを安全にすることが求められる。

■ サプライチェーンセキュリティと規制・ガイドライン

大企業や政府組織など防御の固い組織に侵入するために、グループ企業、取引先企業、あるいは関連組織など防御が比較的弱い組織を踏み台にして、標的の組織に侵入するサプライチェーン攻撃への対策も必要である。

ウクライナのソフトウエア企業であるMeDoc(ミードック)社の税務会計ソフトのように、正規のソフトウエアアップデートに仕組まれたマルウェアで侵入する手口もあれば、納入部品のボードに不正ハードウエアを仕込む手口などがあり、取引先のセキュリティ対策の確認や、納入されたものの真贋性を確認できる仕組みなどの対策が必要となる。

米国ではSP800-171遵守が義務化され、日本でも経産省の研究会でサイバー・フィジカル・セキュリティ対策フレームワークが検討されている。各国の政府も、サプライチェーンを形成する企業がお互いにセキュリティ対策を行っていることを確認できるように制度を整備しようとしている。デジタル化されたビジネスに必要な信頼のチェーンを構成するために、規制やガイドラインに沿ったセキュリティ体制を構築していくことが強く求められている。

■ 情報共有・連携

セキュリティ対策は部門間の連携が必要であり、平時からのコミュニケーションが大事となる。また、業界団体や各種ISAC(注)などを通じて、他社あるいは各種官庁などとの脅威情報等の共有はセキュリティ対策の有効な手段である。ただし、情報共有・連携するためには、まずは自社の情報を積極的に開示すべきであり、それによって初めて相互に共有され、活用することが可能となる。情報開示するためには経営者の強いリーダーシップが必要となる。

企業におけるサイバーセキュリティに関するすべてを経営者が理解・把握することは難しいが、自らの対策を主体的に行い、さらにビジネスパートナーや業界団体などと共に対策を行い、そして、政府・官庁などとも連携する姿勢をもって、積極的に関与する意識が重要である。

(注)ISAC=Information Sharing and Analysis Centerの略。各種業界でサイバー攻撃に関する情報を共有し、迅速な対策を行うことを目的とする民間組織

【21世紀政策研究所】

「21世紀政策研究所 解説シリーズ」はこちら