コロナ禍に付け入るサイバー攻撃が急増

今考えるべき事業継続と

セキュリティ対策

Review

　内閣サイバーセキュリティセンター（NISC）は、サイバーセキュリティ基本法に基づき、日本のサイバーセキュリティ戦略を立案・推進する役割を担っている。関係省庁・機関と連携・協力しながら政府機関や重要インフラの情報セキュリティ対策を行い、サイバー攻撃に関する情報収集や分析を基に、規則やガイドラインの制定とともに広く情報発信もしている。

　直近の取り組みとしては、本年7月に閣議決定されたIT新戦略が目指すデータの利活用とデジタル・ガバメント化の推進、これを支える社会基盤の整備／規制のリデザインに合わせたセキュリティの確保を目指している。具体的には「サイバーセキュリティ・ポータルサイト」を通じ、ウィズコロナ時代のリスクと正しく向き合うための情報、テレワーク利用に関するセキュリティ留意点、サイバーセキュリティ関係法令Q＆Aハンドブックなどを提供している。

　中でも近年特に力を入れているのが、サイバーセキュリティ人材の育成である。「これからはセキュリティを確保しつつ、デジタルトランスフォーメーション（DX）を進める『DX with Cybersecurity』の考え方が不可欠。DXに必要な“プラス・セキュリティ”の知識を補充できる人材が強く求められています」とNISCの山内 智生氏は主張する。

　カギを握るのが「戦略マネジメント層」だ。これは、セキュリティ対策を企画・実行する実務者・技術者層と経営層をつなぎ、リスクマネジメントの中心的役割を担う人材たち。「経営層の方針を踏まえた対策立案を支援し、実務者・技術者を指揮する。彼らによって企業の主体的なIT活用とDX実施を促すのが狙いです」と山内氏は語る。

　NISCは、この戦略マネジメント層と実務者・技術者層の拡充に向け、産学官連携による人材育成とその見える化を推進している。デジタル化の進展に伴い、行政、医療、金融、モビリティ、ものづくりなど様々な領域にサイバー空間が拡大していくため、セキュリティ人材の活躍の場を広げる活動も支援しているという。

　DX with Cybersecurityの推進には、経営者の考え方にも変容が求められる。経営層はデジタル化がフロント・バックオフィス業務に及ぼす影響とサイバーリスクの概要を知り、経営におけるサイバーセキュリティ対策の目的と役割を理解しなければならない。DXに適応したセキュリティポリシーを策定し、会社全体として、その検証に継続的に取り組む。スキル標準や認定制度、活動を適正に評価するキャリアパスを整備し、現場のやる気を引き出すことも重要だ。「しかし、すべてを人任せにしてはいけない。システム・機械に任せられるものは任せ、人的資源は知的集約的な業務に投入すべきです」（山内氏）。

　サイバーセキュリティはリスク管理の一環である。「サイバー」だからといって難しく考える必要はない。「まず現状を把握し、当座の目標を立て、できるところから始めることが肝要です」と山内氏は提言する。DXとサイバーセキュリティは表裏一体の関係にある。経営、マネジメント層はこのことを肝に銘じる必要がある。

　コロナ禍によって、多くの企業がテレワークの導入に踏み切った。三井住友海上火災保険も、この間、従業員約2万人の在宅勤務体制を整備。「社員の感染防止」「生産性を下げない」「ナレッジの共有」、そして「新しい働き方へのチャレンジ」をポイントに置いて取り組みを行った。

　もともと同社は、2016年以降、働き方改革を推進する中で、テレワークの導入も進めてきていた。「これまで、いくつもの壁に直面してきました。それは『必要性を認識する壁』『仕組みを導入する壁』『効果を出す壁』などです。それらの壁を1つずつ克服するためにシステムの導入・強化はもちろん、在宅勤務にかかわる制度面の整備、マネジメント層の意識改革、行動指針の策定などを進めてきました」と同社の荒木 裕也氏は振り返る。

　今回、従業員約2万人の在宅勤務体制を速やかに整備できたのも、このような一連の積み重ねがあったからといえる。

　とはいえ、もちろん、2万人規模、しかも緊急対応ともなると様々な新しい課題をクリアする必要があった。

　例えば、ハード面について同社は、数年前からシンクライアントを導入し、外部からVPN経由でクライアントにアクセスできる環境を整備してきた。「しかし、今回は在宅勤務の対象者が比べものにならないくらい広く、既存のインフラでは力不足だという問題が浮上。急遽、システムの性能を増強する対策を講じました」と同社の上村 征広氏は語る。

　また、テレワークで欠かせないコミュニケーションツールについて、対応するWeb会議ツールの種類を増やしてほしいという現場の要求に対応したり、従業員の利便性を考慮して個人所有のスマートフォンでもWeb会議に参加できるようにしたり、随所で柔軟な判断で決定。「個人所有のスマートフォン利用については、意見が割れましたが、この環境下では多少のセキュリティリスクはとっても事業継続性を優先すべきと判断されました」と上村氏は言う。

　さらに注目が、ソフト面での取り組みだ。

　同社は、かねてテレワークの円滑な利用や業務の生産性を担保するための要諦を「虎の巻」として作成し、従業員やマネジメント層に対して公開してきたが、今回、新たにセキュリティを確保するためのチェックリストも作成。「Ｗeb会議ではファイル共有や録画などの機能を使わないといった使い方から、Wi-Fiの設定まで細かく記載し、それに準じてテレワークを行うよう周知しています」（上村氏）。

　これらの取り組みが奏功し、同社は大規模なテレワークへの移行と、その後の業務継続をうまく乗り切った。利便性とセキュリティのバランスを自由に判断し、ハードだけでなく、ソフト面からもアプローチして体制・環境を整えるなど、テレワークの定着とセキュリティを考える上で、同社の取り組みは大いに参考になるはずだ。