日経ビジネスONLINE Special 週刊日経ビジネスオンライン SPECIAL日経ビジネスオンライン

サイバーセキュリティ対策は積極的な「投資」

基調講演■内閣官房 内閣サイバーセキュリティセンター 副センター長
サイバーセキュリティ対策は「コスト」ではなく、積極的な「投資」

 基調講演では、内閣官房内閣サイバーセキュリティセンター副センター長で内閣審議官の三角育生氏が、「我が国のサイバーセキュリティ政策について ~企業経営の視点から~」をテーマに話した。

事業継続の観点からサイバーセキュリティを考える必要あり

内閣官房 内閣サイバーセキュリティセンター 副センター長
内閣審議官
三角 育生氏

 サイバーセキュリティへの対応の必要性は、組織・企業を狙った攻撃の顕在化などにより、認識がますます高まっている。ところが、「日本の経営層はサイバーセキュリティに対する認識が不十分」と三角氏は言う。

 「個人情報漏洩の防止など機密性という点での意識は日本でも高まってきました。しかし、サイバーセキュリティは機密性だけではありません。サイバー攻撃を受けた際の事業継続も重要なテーマとなります。事業継続というと日本では災害ばかりがイメージされますが、ITがますますビジネスに使われるようになっている現在、事業継続の観点からサイバーセキュリティを考える必要があるのです」

 そう述べた上で、三角氏は平成27年9月4日に閣議決定された、新たな「サイバーセキュリティ戦略」について解説した。同戦略は、今後の経済社会における情報化の一層の進展を見据えた時に、組織・企業としてどのような取組みがありうるか、という視点を踏まえたサイバーセキュリティ政策である。

サイバーセキュリティ対策は積極的な経営の「投資」

 サイバーセキュリティ政策の大前提として、三角氏はサイバー空間に関わる認識に留意する。

 「さまざまな攻撃が存在するからといって、サイバー空間を『戦場』と捉えるべきではないというのが同戦略の立場です。むしろ、サイバー空間は『無限の価値を産むフロンティア』となる人工空間と捉えています」

 企業活動がサイバー空間に依拠している現在、サイバーセキュリティには「付加価値を産む人工空間を守る」という視点が欠かせない。そういった視点は同戦略にも反映されており、「経済社会の活力の向上及び持続的発展」「国民が安全で安心して暮らせる社会の実現」「国際社会の平和・安定及び我が国の安全保障」の3つの柱から構成されている。  さらに三角氏は、企業経営のためのサイバーセキュリティの考え方について言及した。

 「日本ではITはコストと捉えられがちです。しかし、サイバーセキュリティは、やむを得ない『費用』ではなく、積極的な経営における『投資』の対象と見なされなければなりません。そうした方針こそが、企業の競争力強化にもつながるはずです」

2つの基本認識は「挑戦」と「責任」

 サイバーセキュリティ投資を行う際には、2つの基本認識が必要と三角氏は説く。

 「1つは『挑戦』です。新たな製品・サービスの価値(『セキュリティ品質』)を創造するための投資にしていくべきです。

 もう1つは『責任』です。すべてがITでつながる社会において、企業に対する社会的な要求・要請に応えなければなりません。

 その上で、具体的なリスク対策だけでなく、積極的な情報発信やサプライチェーン全体への目配りなどが、経営層に求められているのです」



基調講演■KPMGコンサルティング
どのように自社の「Crown Jewel(王冠の宝石)」を守るのか

 特別講演では、KPMGコンサルティングのサイバーセキュリティアドバイザリー パートナーである田口篤氏が、「サイバーセキュリティを経営課題に~Cyber in the Boardroom~」をテーマに話した。

セキュリティ管理の舞台を「マシンルーム」から「ボードルーム」へ

KPMGコンサルティング
サイバーセキュリティアドバイザリー パートナー
田口 篤氏

 サイバーセキュリティについては、情報システム部門が所管するのが通例だ。しかし、昨今のサイバーセキュリティに関するさまざまな変化を見ていると、「情報システム部門だけでは管理しきれない領域が広がっている」と田口氏は指摘する。

 「これからの企業は、『サイバー・イン・ザ・マシンルーム』だったセキュリティ管理を、経営課題として『サイバー・イン・ザ・ボードルーム』で取り扱うべきです。サイバーリスクを経営会議の議題にしなければなりません」

 セキュリティ管理の舞台を「マシンルーム」から「ボードルーム」へと転換していく中で、以下のような具体的な取り組みが必要だと田口氏は語る。

 まずは、ベースラインアプローチからリスクシナリオアプローチへの転換だ。今や、会社ごとに攻撃対象などが異なる時代。そのため、従来のベースラインアプローチ、すなわちセキュリティに関する標準的な対策を自社に適用するアプローチから、自社固有のリスクに対処するリスクシナリオアプローチへの転換が求められている。

 「ベースラインアプローチで組織全体の底上げをした後は、自社固有のリスクに対処するリスクシナリオアプローチを取るべきです。誰がどうやって自社のCrown Jewel(王冠の宝石=本当に重要な防御対象)を狙うのか。そうした攻撃シナリオごとの対策を実施する必要があります」

「事故は必ず起こるもの」を前提に検知復旧対策に取り組む

 次に取り組むべきは、経営層以下、全社的なマインドチェンジである。

 「経営者は『事故を起こすな』と指示を出しがちです。しかし、今の時代、事故をまったく起こさないようにするのは難しい。『事故を起こすな』ではなく、『事故は必ず起こるもの』を前提に、ダメージの最小化など検知復旧対策に取り組むべきでしょう」

 最後に田口氏が挙げたのは、OT(Operational Technology=運用技術)系セキュリティへの対応だ。従来のセキュリティはIT系、すなわち業務システムが対象となってきた。ところが、今はOT系、すなわち制御系システムが狙われるようになっている。現に海外では、水道のシステムが被害に遭うケースも報告されているという。

 「供給メーカー依存で情報システム部門の所管外になりがちなOT系システムについては、ジョイントガバナンス(供給メーカーと協力した管理体制)やサテライト方式の管理体制(生産現場にセキュリティ要員を配置した管理体制)を構築する必要があります。トップマネジメントがしっかりとイニシアチブを発揮して、サイバーセキュリティに取り組むことが極めて重要なのです」