経済産業省と独立行政法人情報処理推進機構(IPA)は、2016年に「サイバーセキュリティ経営ガイドライン」を発表。17年には改訂も行った。策定に携わったIPAの小川隆一氏に経営者へのアドバイスなどを聞いた。

──「サイバーセキュリティ経営ガイドライン」が策定された背景などについて聞かせてください。

【小川】より多くの企業経営者たちに「サイバーリスクはビジネスリスクである」という、ある意味で基本的な認識を持ってほしかった。これが一つの狙いです。目的どおり、ガイドライン発表のインパクトは相応に大きく、それに沿ってセキュリティを見直す動きが、大企業を中心に活発化しました。

その前にも、サイバーセキュリティ担当者に向けた対策のガイドラインは存在しました。しかし、経営者に対するメッセージを含んでいるとはいえなかった。そのため、ITそのものを商品やサービスの手段とする業種は別として、例えばレガシーな製造業ともなると、経営者たちのセキュリティ意識は十分とはいえないと私自身感じていました。さまざまな業務がIT依存度を高める中で、いつの間にかその安全性の確保が死活問題になってしまう企業が多いのではと考えています。もはやどんな業種でも、利用中のクラウドサービスが止まるとか、情報が漏えいするといった事態に陥れば、取引先や消費者に迷惑がかかり、自社の社会的信用や収益が損なわれる可能性があります。その意味で、まさにサイバーリスクはビジネスリスクなのです。

──そこで、セキュリティには経営者のリーダーシップが求められるというわけですね。

【小川】ええ。セキュリティは事業戦略の一環なのです。そして、資金や人材といった経営リソースを握っているのはやはり経営者です。基本的には「こういう事業をやるから、こういうITシステムが必要だ」「でも、こういうサイバーリスクがある」「それならセキュリティのために、これだけ資金を投じよう」と意思決定を進めていかねばなりません。収益を生み出すためにセキュリティにもお金を使う。その意味では、セキュリティ対策は投資なのです。

また、全社員に対しセキュリティの重要性を訴え続け、全社的にその徹底を図る意味でもリーダーシップは必要です。例えば、標的型攻撃メールを企業内の不特定多数にばらまいてマルウェアを送りつける例は依然多く、それは誰のPCにも届く可能性があります。

さらには経営者にとって、仕組みづくりも重要です。具体的な対策はセキュリティベンダー等のサポートを受けるとして、一方で自社のビジネスリスクについては自社でつかんでおく必要がある。セキュリティの実務を担う部門を統括する責任者を置き、起こりうる脅威をその責任者から経営者へ報告させます。そのうえで経営者は、常にサイバーリスクを把握しながら会社の舵を取るべきです。

インシデント発生後の対策も重要な課題

自社のビジネスリスクについては自社でつかんでおく必要がある
小川隆一(おがわ・りゅういち)
独立行政法人情報処理推進機構(IPA)
セキュリティセンター セキュリティ対策推進部
セキュリティ分析グループ グループリーダー

IPAにて、情報セキュリティ白書作成、サイバーセキュリティ経営ガイドライン策定、サイバーサプライチェーンリスク管理調査等の調査分析事業に従事。各種セミナーなどにおいて、セキュリティの啓発活動も行う。

──サイバー攻撃が巧妙化し、ガイドラインも改訂したとのことですが。

【小川】はい。本当は攻撃手法の根本の部分に大きな変化はなく、相変わらずシステムの脆弱性が狙われる。したがって、まず対策の基本中の基本である脆弱性の修正を漏れなく行う。それが最も肝心です。

とはいえ100%は防ぎ切れません。にもかかわらず、従来のセキュリティ対策は予防に偏る傾向があったため、例えばサイバー攻撃によるインシデントが発生してしまったときの対応や復旧といった事後対策にも範囲を広げたのが、2017年のガイドライン改訂です。現実問題として大切なのは、被害の最小化と、その後のリスクをどう扱うか。保険に加入するのか、サイバー攻撃の影響が大きい事業からは撤退するのか、リスクを削減しつつ収益拡大の道を目指すのか。そこは、まさに経営者に求められる決断です。

──例えばウイルスメールを開いてしまうのは人間です。するとセキュリティの最後の決め手は、社内の一人ひとりということになりますか。

【小川】そうした部分もありますね。比較的新しい脅威の一つがビジネスメール詐欺(偽の請求)で、日本でも3.8億円を騙し取られた企業がありました。犯人は、あらかじめウイルスを送りつけて企業内のメールを盗み読む状態をつくっておき、取引先を装って巧みに送金を求める。受け取った社員が送金前に確認の返信をしたつもりでも、なりすまして誘導してくるのです。セキュリティ対策も技術の高度化とともに、例えば連絡手段をメールに頼りすぎないなど、人間が隙をつくらないことも大事な要素となります。

──サイバー攻撃に危機感を抱く経営者へメッセージをお願いします。

【小川】危機感は必要ですが、日本人の律儀さで、社員たちによる日常的な対策の励行も期待できそうに思います。

それにこれからは「転ばぬ先の杖」もさることながら、「たとえ転んでもどう起き上がるか」「起き上がってからどうするか」が重要な課題です。私たちIPAはこのような転んだ場合の対応も含め、経営ガイドラインを実践している事例を収集する調査を始めつつあります。

同時に皆様が同業他社や取引先、子会社などと直接、情報交換なさることも有効でしょう。欧米では「競合他社よりサイバー攻撃のほうが脅威だ」と考える経営者もいるようです。ぜひ共通項を持つ関係各社の間でセキュリティの情報をシェアし、互いの対策強化に生かしていただきたいですね。そうした交流のきっかけづくりも、経営者の役目にほかならないと思います。