経営者の無知・無策が企業を滅ぼす!担当者に丸投げでは失格、いま備えるべきセキュリティとは?

前編:セキュリティの「守り」があってこそ「攻め」の成長戦略が実現できる

東京大学名誉教授 学習院大学国際社会科学部教授 経済学博士 伊藤元重氏
				KPMGコンサルティング株式会社 サイバーセキュリティアドバイザリーグループパートナー 田口 篤氏

企業を取り巻く環境は日々激変しており、警戒すべき脅威も刻々と変化している。自社を守るために、経営者にはセキュリティの最新事情に関する知識と、専門家を使いこなすスキルが強く求められる。特に、サイバーセキュリティ分野ではこの傾向が顕著だ。いま企業経営を取り巻くリスクと不確実性について、経済学者 伊藤元重氏と、KPMGコンサルティングの田口篤氏が語り合った。

対策が「投資」になるリスクと「コスト」になるリスク

伊藤元重 氏
東京大学名誉教授
学習院大学国際社会科学部教授
経済学博士
伊藤元重

税制調査会委員、復興推進委員会委員長、経済財政諮問会議議員、社会保障制度改革推進会議委員、公正取引委員会独占禁止懇話会会長などの要職を務める。著書に、『入門経済学』(日本評論社)、『ゼミナール国際経済入門』(日本経済新聞出版社)、『ビジネス・エコノミクス』(日本経済新聞出版社)、『ゼミナール現代経済入門』(日本経済新聞出版社)など多数。

伊藤 企業経営を取り巻くリスクについて語る前に、まずリスクの定義について確認しておいたほうがいいと思います。経済学の立場では、可能性を分析できる「リスク」と、分析不可能な「不確実性」を分けて考えないといけません。前者のリスクとは過去のデータなどに基づいて分析し、予測を立てて対処することが可能です。一方、不確実性は、例えば災害のように、何が起こるかさえわからないものを指します。サイバー攻撃も不確実性の部類に入るものです。

一般的には、両者を区別せずに「リスク」と呼ぶことが多いですが、対応策を練る立場の人は、この2つを切り分けて考える必要があります。重要なのは、リスクとリターンは裏表の関係にあるということです。リスクを十分に認識しながらも、対応して行動していくことが企業の成長に不可欠といえるでしょう。リスクを恐れて、立ちすくんでしまってはいけません。

例えば、グローバルな企業活動では国内とは比較にならないほど多種多様なリスクが発生しますが、かといって海外に出て行かなければビジネスチャンスは得られません。情報技術、例えばIoT(モノのインターネット)、AI(人工知能)、クラウドなどの分野にも同じことがいえるでしょう。

社会の変化も大きなリスクを生むことがあります。働き方改革や、雇用に関するコンプライアンスはその好例です。最近では、従業員が不慮の死を遂げたときに企業経営の責任が問われるケースが目立ってきました。これらのリスクもきちんと対策を打つことで、人材の獲得時に有利になるなど、相応のリターンが期待できます。

田口 おっしゃる通りです。もうひとつのポイントとして、時代が変わると経営環境が変わり、リスクの内容も変わるという点も要注意ですね。現在の自社にとってのリスクが何か、きちんと認識しておくことが重要です。

グローバルガバナンスのリスクや働き方改革のリスク、これらは、うまく対処することで企業の収益や生産性を改善できるプラスの効果が期待できるリスクだと思います。

一方、不確実性、つまり自然災害やサイバー攻撃への備えは、プラスの効果はあまり期待できません。しかし、いつかは発生する不可避のリスクです。きちんと対処しないと、何かが起こったときに大きなダメージを受けてしまいます。

ここで、リスク対策の姿勢がコストマインドなのか投資マインドなのかが問われます。収益が上がる「投資」なのか、そうではない「コスト」なのか。サイバー攻撃対策は必要なコストではありますが、そのコストをどのように捉えるのか、経営者にとっては悩ましい問題です。

伊藤 そうですね。自然災害のケースですが、(21世紀前半にも発生する可能性が高いといわれている)東南海大地震の発生の可能性について、沿岸部に重要な生産拠点がある会社は、なんとなく意識してはいます。しかし、具体的にどうしたらいいかがわからないというケースが多い。私が関わった中で強く印象に残っているのは、ある企業にその不確実性への対処をはっきり指摘して発言する役員の方がいたことです。不確実性の存在をしっかり声に出して言うこと、これは非常に重要です。サイバー攻撃対策も同じことで、まずは声を上げる、重要だと警告することから対策が始まります。

企業を取り巻く脅威の種類と対策の効果

対策が投資になり得る 対策がコストにしかならない
脅威の種類

グローバルガバナンス

働き方改革
など

自然災害

サイバー攻撃
など

対策の効果

収益の向上

生産性の向上
など

被害の最小化

事業の継続
など

企業が抱えるリスクには、対策を講じることが収益や生産性の向上につながる(=投資になる)ものと、対策しても収益増にはつながらない(=コストになる)ものがある。後者への対策は消極的になりがちだが、いざリスクが現実のものになったとき、対策をしていないと被害が甚大になる恐れがある

現場には危機感、経営層の理解が求められる

田口 現場のシステム担当者やセキュリティ担当者の声として、2つのことをよく耳にします。ひとつはプロフェッショナルな人材が不足している。もうひとつは役員の理解がまだ十分ではないことです。結果として、セキュリティにヒト、モノ、カネのリソースの手当ができず、現場は危機感を持っています。

伊藤 確かに、サイバー攻撃対策に関しては、社内だけではなく外部の専門家などの声を聞かないといけないという意識は醸成されつつあると感じています。自分たちの知識や技術だけでは十分ではない、そこで外部の声を聞く。

いろいろな企業でグローバルガバナンスやコンプライアンスの問題で経営が厳しくなっている。そういう中で、経営陣に外部の声をいかにぶつけていくか、逆に言えば、経営陣が外部の声をいかに拾っていくか。そのためのチャネルを作ることが重要です。これは企業だけでなく政府機関も同様です。

田口 問題は、どれくらいの強制力があるかですね。コンプライアンスの問題への対応であれば、経営陣は必ず実施します。つまり、コンプライアンスのリスクに対する理解は進んでいる。一方、どうしても消極的になってしまう分野もあります。

リスクや不確実性への対応については、経営陣が「経験を積む」ことが大事だと思っています。例えば、東日本大震災では震源地から離れた東京でも大きく揺れました。それで多くの企業の経営陣が大地震のリスクへの実感を持った。その後、BCP(事業継続計画)の整備が急速に進みました。

その意味では、サイバーセキュリティ分野では、経験が圧倒的に欠けています。よくわからないし、サイバー攻撃に対する実感を持てない。それを擬似的に経験してもらう機会を作っていき、促進していくことは必要だと思います。

伊藤 心配なのは、本人は気がついていないけれども実は攻撃されているようなケースですね。

田口 サイバー攻撃の主流のひとつである標的型攻撃がその代表例です。偽のメールが届いて、開封したくなるような巧妙なタイトルが付いている。そのメールの添付ファイルを開くとウイルスに感染してしまう。手口の性質上、対外的に露出が多く、受け取るメールの数が多い経営者ほど狙われやすい。感染に気づかないまま月日が過ぎてしまうこともあります。

伊藤 大学にいると、いろいろな所とメールをやり取りします。つい開きたくなるタイトルのメールもよく届くのですが、よく見ると何か違うと感じます。でも、忙しかったらそのまま開けてしまいます。忙しくなければ気がつく(笑)。危ないですね。

自然災害だと、起こったときにどう行動するかを想定して防災準備をしますね。セキュリティ分野でも、例えばホワイトハッカーを雇って攻撃してもらう、といった防災訓練をすることはあり得ますか?

田口 ありますね。ハッカーに疑似攻撃をしてもらい、実際に被害が発生したとき、問題をどう潰していくかシミュレーションするんです。まさに、サイバー攻撃の経験を積むわけですね。進んでいる企業はすでに実施しています。

ゼロリスク指向から脱却し、事後の素早い初動を目指す

田口 篤 氏
KPMGコンサルティング株式会社
サイバーセキュリティ アドバイザリーグループ パートナー
田口 篤

早稲田大学大学院理工学研究科卒業後、国内大手シンクタンクなどを経て、2000年KPMGビジネスアシュアランス(現 KPMGコンサルティング)に入社。情報セキュリティ管理、事業継続計画、個人情報保護、システム監査、アイデンティティ管理などITリスクマネジメントに関するプロジェクトを担当。

田口 従来の経営者の方々の指示の出し方は「とにかく、事故が起こらないように」というものでした。いわゆるゼロリスクの考え方ですが、すでに実情に合わなくなってきています。そうではなく、事故は起きてしまうものだと考えて、「事故が起こったときに早く問題を解決できるように」という方向性を打ち出さないといけません。

災害が起きたときにどう対応するかを定めた計画をBCPと呼びますが、セキュリティ上の脅威が実際に発生したときにどう対応するかを定めた計画をIRP(Incident Response Planning)といいます。このIRPを策定することも大事です。

伊藤 それに関連して、鉄道事故に関して専門家から話を聞いたことがあります。大きな鉄道事故は、被害が広がらないようにするために事故後の初動が重要なのだそうです。事故の現場に別の列車が突っ込んで被害が拡大するようなことを避けるのが大事なのだと。

そうすると、例えば疑似サイバー攻撃をしっかり経験し、攻撃を受けたあとに、役割が異なる人たちが、それぞれ必要な行動を速やかにとるような訓練が大事なのではないでしょうか。

田口 まったくその通りで、初動が大事です。そのためには事前の訓練や計画が非常に重要となります。また、サイバー的な脅威は物理的な事故などと違って目に見えづらい。それをどのように早期に検出できるか。そこにも注力する必要があります。

バランスを考えながら、リスクに対応して企業を変化させる

伊藤 リスクの話に戻りますが、そもそも企業はなぜ儲かるのか。それは経験に基づく組織的な実行を細部まで正確に繰り返すことで、企業は価値を生み出し、発展していくという理論があります。例えば世界的に有名なテーマパークは、キャストの配置や、その笑顔まで含めて、繰り返し正確に実行していくからこそ人々に支持されている。それを大きく変えるのは大変なリスクといえます。

とはいえ、デジタル化によって企業も変わっていかざるを得ない。オンゴーイングで進んでいくビジネスをどのように変えていくのか。変化は重要ですが、リスクに振り回されてしまっては、本業もうまくいかなくなってしまう。ここもバランスを考えて議論していくのが大事なのかなと思います。例えばモビリティやIoTのような新しいものを導入するタイミングは、セキュリティ強化のチャンスでもあります。

田口 セキュリティ対策は、効率とトレードオフの関係にあります。セキュリティ対策をしない状態が効率的なのは確かです。ユーザー認証もパスワード入力もなく、誰でもファイルを参照できるほうが便利ですし、他人のパソコンでも作業できたほうが仕事が滞らない、といったことはあります。しかし、それでは問題が起こってしまう。ならば、どこまでセキュリティを固めるか。業務効率とセキュリティのバランスは、どこかで落としどころを見つけないといけません。

気になるのが、多くの企業でCIO(最高情報責任者)がCISO(最高情報セキュリティ責任者)を兼任していることです。CIOはITをいかにうまく使うかを考える、いわばアクセルを踏む立場ですが、CISOはむしろブレーキになる立場なので、兼任ではうまく機能しないはずなんですよね。

伊藤 バランスを取るにはアクセル役とブレーキ役が独立しているべきですね。自動車メーカーのダイムラーには、ブレーキ役として、自動車を出荷していいかどうかを最後にチェックする人がいるそうです。その担当者がノーを出すと、その自動車は出荷しない。

一方で、こんな企業もあります。日本の金融機関のシステムはレガシーで、過去からの積み上げを重視していますが、私が視察した韓国のある銀行はオープンネットワークでした。なぜかというと、より大きな銀行を吸収合併する必要があったから。そこでいちかばちかで一気にシステムを変えたところ、結果的にうまくいった。アクセルを踏み込んだかたちですね。アクセル担当の人がブレーキも兼任していたら、そうした大きな変化はできなかったかもしれません。

最新の動向を押さえたうえで決断することが必要

自社が受ける可能性がある攻撃パターンを予測する

誰から、なぜ、何を狙われる?
						興味本位、犯罪者、ハクティビスト、国家組織

KPMGコンサルティングでは、企業のサイバーセキュリティの対策を立てる場合、自社がどんな攻撃を受ける可能性があるのか、経営者に徹底的に分析してもらうという。この部分が理解できていないと、ピントのずれた策を講じることになりかねないからだ

伊藤 業種や企業によって、リスク・不確実性の感度に偏りがありますね。例えば、食品を扱っているスーパーなどは、消費者から「味がおかしい」とクレームがあった際は、ものすごい速さで対応します。日本人は、口に入れるものに関しては敏感ですから、そのリスク対応が非常に重要という認識が浸透しているんですね。ほかの例では、金融機関も従来からあるリスクに対しては非常に感度が高い。しかしながら、これらの企業がサイバー攻撃対策に関しても同じような注意を払っているかというと、そうでもない。

田口 経営者が経験を積むことが大切だという話をしましたが、何も経営者がハッキングの能力を身につける必要はありません。大事なことは、企業のリスクシナリオを作ることです。

例えば、攻撃者を4パターンに分けます。興味本位の攻撃、ハクティビスト(政治的な意思表示を目的としたハッカー)、犯罪者、それに国家による組織的攻撃。自社が狙われるとしたら、このうちの誰から、どういう理由で、何を狙われるのか。そこを分析します。この部分は、最終的には経営者自身が判断する必要があります。自分の会社がサイバー攻撃を受けるかもしれないという危機感を自分の言葉で腹落ちさせ、理解することが最初の一歩です。

伊藤 そのほかに、サイバーセキュリティに強い人材が不足していることも、理解が進まない原因のひとつかもしれないですね。セキュリティ分野をはじめとするITの専門家の人材不足に関しては、経済産業省の産業構造審議会でも警鐘を鳴らしています。

田口 そうあってほしいと思っています。

伊藤 人材育成でいえば、30代、40代から経営者候補の教育をしっかりやっていくことも重要です。あるいは外部から経営者をスカウトしてくる。経営層は、自分たちの会社の外側にある知見を持っておかなければ足をすくわれます。サイバーセキュリティもそうですし、マクロ経済もそうです。

もちろん細部まで理解する必要はなく、そこは専門家に任せればいい。一番大事な部分を、経営者自身が実感を持って理解することが大切です。

田口 そうですね。忘れてはならないのが、世の中は移り変わりが早いので、経営層の方々が現場にいた時代とはリスクや不確実性が変質している可能性が高いということ。サイバー攻撃という不確実性はその最たるものです。だから、骨格となる部分だけでも、常に最新の動向は知っておく必要があります。

伊藤 ビジネススクールでいろいろなケーススタディをやるのも、狙いはそこにあります。いろいろな異なる環境のもとで状況を判断し、決断していく能力が求められます。

田口 経営者の方々も、専門家をより有効に使いこなしていく必要がありますが、サイバーセキュリティ分野もその筆頭といえるでしょうね。

明日は我が身かも!? 身近に潜むセキュリティリスク

  • カフェでPCに個人情報を入力していたら
  • カフェでPCのWi-Fi接続を手伝ったら
  • カフェで置きっぱなしのPCについ触ったら
TOPへ