日経ビジネスONLINE Special 週刊日経ビジネスオンライン SPECIAL日経ビジネスオンライン

世界が協調して社会を守るサイバーセキュリティ最前線

サイバー攻撃の脅威は、企業のビジネスそのものに関わるリスクだ。IoT(モノのインターネット)やビッグデータなどの普及に伴い、リスクの範囲も拡大している。企業は攻撃者の存在を認識し、侵入を前提とした事前の準備が急務だ。各分野のエキスパートが集い、「増大するサイバー脅威の事業リスクと対策」についてパネルディスカッションを行った。

個人情報以外の情報漏洩にも注意を

PwCあらた有限責任監査法人
システム・プロセス・アシュアランス部長
岸泰弘 氏

 サイバー脅威が増大する中、企業は事業リスクの変化をどの程度実感しているのか。AIGジャパン・ホールディングスが国内の約200社を対象に実施した調査「B2Bサイバーリスク/保険意識調査」(2017年8月)によると、自社がサイバー攻撃を受けたかという認識に対して『ある』と『あると思う』を合わせた回答はおよそ3割だった。しかし、同社の竹田竜哉氏は、「企業がきちんと現状を認識していない可能性が高く、程度はともかくとして、ほぼすべての企業が何らかのサイバー攻撃を受けていると考えたほうがいい」とみる。

 独立行政法人情報処理推進機構(IPA)は、毎年「情報セキュリティ10大脅威」を発表している。2017年版では、標的型攻撃やランサムウエア、個人情報の窃取などを組織に対する脅威として挙げている。2017年版で初めてランクインした脅威もある。「攻撃のビジネス化(アンダーグラウンドサービス)」である。

 IPAの江口純一氏は「攻撃のためのツールやインフラなどを提供するアンダーグラウンドのビジネスが拡大し、専門的な知識を持たなくても攻撃可能な環境になっている」と語る。

弁護士、博士(情報学)、
京都大学大学院医学研究科講師
岡村久道 氏

 攻撃の対象は個人情報ばかりではない。

 「個人情報の漏洩があれば、企業はその事実を公表するというルールがある。ただ、それ以外の重要情報について、被害を受けた企業がすべて公表しているわけではない。見えないところで、多くの情報漏洩が発生していると考えられる」と江口氏は強調する。

 弁護士の岡村久道氏も、「個人情報のみに注目が集まっているが、企業はほかにも多くの機密情報を保有している。これらの情報が流出することで千億円規模の損害を被ったとして、裁判で争われたケースもある」と指摘する。

見落とされがちなサイバー攻撃の損害項目

 IoTやビッグデータの活用が進むにつれて、企業の持つ情報の価値は高まっている。しかし、その情報を守るための体制や仕組みは十分整っているわけではない。

独立行政法人情報処理推進機構(IPA)
技術本部 セキュリティセンター
セキュリティセンター長
江口純一 氏

 PwCあらた有限責任監査法人の岸泰弘氏は、「システム監査で企業を訪問するが、危機感を覚える。情報セキュリティを統括するCISO(最高情報セキュリティ責任者)、あるいは専門のチームを置いている企業は少ない」という。IT部門が担当になっていても、最近はIT部門の目が届かないクラウドサービスなどの利用が増えている。企業全体のリスクを把握し、それに対処できる体制づくりが急務といえる。

 では、企業の抱えるリスクをどのように評価すべきか。竹田氏は「サイバー攻撃による被害の評価においても災害などと同様に、発生しうる最大損失、発生確率をベースにリスクを考えるのが基本」と語る。ただし、災害との違いは相手があること。「その意味では、サイバー攻撃のリスクはテロリスクに似ていて、相手があるためにリスクの計量も難しくなる」という。

 事前に想定すべき損害は多岐にわたる。例えば原因究明のためのフォレンジック(デジタル鑑識)や顧客対応等の初動対応に要する費用、情報漏洩があった場合はその被害者に対する損害賠償金、さらに事業中断によって生じた逸失利益などだ。

 加えて、岡村氏は「お詫び会見や第三者委員会の費用などを積み重ねていくと、数億円、数十億円という損害になることも珍しくない」という。では企業はどうしたらいいか。

サイバー・インシデントは起こることを前提に

 サイバー攻撃のリスクに対処するのに有効なのがサイバー保険だ。サイバー保険に加入する日本企業は、増加の傾向にある。

 もっとも保険に入るためには、企業の側でも一定の準備が必要だ。「セキュリティ対策が不十分だと、保険料が高くなったり、場合によっては加入できなかったりすることがある」と岸氏は話す。

AIGジャパン・ホールディングス
AIG総合研究所担当
取締役執行役員 博士(公共経済学)
竹田竜哉 氏

 モデレータの伊藤友里恵氏は「サイバー保険を検討する際、自社の情報環境の健全性をチェックし対策を強化する。そんな対策の進め方も有効」と語る。

 企業活動においては情報環境も日々変化している。新しい工場ができれば、守る対象範囲も変わるかもしれない。セキュリティ対策における指標なども変わってくる。「環境変化を前提に、現状をチェックし改善を続けていくというサイクルを回し続ける。そんな仕組みが求められる」と江口氏は強調する。

 IoTの普及も重要な環境変化の1つだ。あらゆるシステムがネットワークでつながるコネクテッド・ワールドにおいて、サイバーリスクからの完全な防御を目指すことは事業発展を妨げることにもなりかねない。事前の準備、防御に加えて、必ずいつかはサイバー・インシデント(セキュリティ上の事件・事故)が発生するという認識の下に対策を準備しておく必要がある。

外部専門家とのネットワーク構築が重要

 いつ起こるかわからない攻撃に関しては、事前の対策に加えて、事後対策をあらかじめ考えておくことも重要だ。そのためには「自前ですべて対処するのではなく、事前・事後の対策を依頼する外部専門家のネットワークを作っておくことが必要」と竹田氏は指摘する。

モデレータ:
サイバーグリーン
エクゼクティブディレクター
伊藤友里恵 氏

 実は外部専門家ネットワークの要となるのが保険会社だ。「保険というファイナンシングの仕組みは、サイバー侵害の抑制・最小化という点で被保険者との目的が一致しており、事前・事後対策を被保険者が立案・実行する上での重要なパートナーとなる」と竹田氏は説明する。例えば、AIGはアクティブケアという事業コンセプトで、こうした支援を推進している。

 事前・事後を視野に入れたトータルな対策をいかに立案するか。サイバー攻撃のリスクが増大するいま、セキュリティ対策における保険の重要性は着実に高まりつつあるようだ。

AIGジャパン・ホールディングス
http://www-154.aig.com/