サイバー社会の幼稚園の先生がいる会社運営を
vol.8 神戸大学大学院 教授 森井 昌克 氏
サイバーセキュリティやサイバー犯罪対策の専門家として、神戸大学大学院での教育・研究活動に加え、地域経済団体や行政機関等との連携により、企業のセキュリティ人材育成に資する取組や、中小企業向けに数多くのセキュリティ啓蒙活動を幅広く推進する、森井 昌克 教授に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。
予想できないことが起こるサイバー空間
−サイバーセキュリティ対策を実施しないリスクは何でしょうか。
「サイバー空間では、情報漏洩や遠隔操作といった、経営者が予想する以上のことが起こり得ます。つまり何も対策しないということは、サイバー空間では何でもできてしまう、何をされてしまうか分からないということになるので、大きなリスクを抱えることになります。」
−予想できないからこそ経営者として意識すべきことはありますか。
「サイバー社会だからといって難しいことを考える必要はありません。一般の現実社会に置き換えて考えてみると分かります。この安全な日本という社会でさえ、何も考えずにふらふら歩いていると事件に巻き込まれることもあるでしょう。だから私達は少なくとも大金を持ち歩かないとか、危なそうな場所に行かないとか、たとえ行ったとしてもきょろきょろ周りを見渡すとか、そうした注意をしているはずです。少なくともサイバー社会は安全な社会ではありません。何もしなければ誰も守ってくれません。サイバー社会だから何も分からないということではなく、現実社会に置き換えると感覚的に分かることが少しはあると思います。」
折り合いは必ずつけられる
−経営層と情報システム部門のコミュニケーションがかみ合わないことがあるようです。
「経営者は、自分で理解できる言葉で分かるまで何回も聞くということです。逆に情報システム部門は、技術的な話からではなく、何が起こった場合どういう事態になるかを説明し、経営者に何が問題なのかを理解してもらうことに努めるべきでしょう。そこを共有できてはじめて、具体的な技術や手法の話にうつることができます。もちろん、予算も含めて色々な制約があると思いますが、出来るか出来ないかではなく、出来ることは何かを考えていくということで、必ず折り合いをつけられる点が見つかるはずです。」
教える側は、幼稚園の先生のつもりで
−経営者から一般社員に対してはどういうメッセージを出していけばよいでしょうか。
「サイバーセキュリティ対策の基本は、ひとりひとりのユーザーのセキュリティ意識にかかっています。不正アクセスというのは小さい穴から大きな穴を開けていくのが鉄則ですが、小さい穴というのは社員のセキュリティ意識の中にあります。そこが綻びになるので、その穴をしっかりと埋めていくことは会社としてのサイバーセキュリティ対策になるということを、社員一人一人に認識してもらえるようにしなければなりません。」
−一般社員に対してどのように普及啓発していけばよいでしょうか。
「教える側は、幼稚園の先生になることです。現実社会において、幼稚園児に「危ないから道に飛び出してはいけません」といくら言っても、なかなか感覚として分かりません。ある程度自分で危険なことも体験しながら、徐々に感覚が備わっていくものです。これがサイバー社会だと、一般社員のサイバーセキュリティ意識は相当低く、知らないうちにしてはいけないことをやってしまうこともあります。こうした一般社員が幼稚園児だとすると、注意喚起してもすぐには身につかない。だからこそ何回も何回も繰り返し教えることで、身につけていってもらう他はありません。」
セキュリティ対策も防災と同じ視点で
vol.9 近畿大学 教授 井口 信和 氏
近畿大学において、IoTやAI(人工知能)技術者を育成するプロジェクトを推進する一方で、ネットワーク技術者・セキュリティ技術者の養成を支援する教育システムを開発するなど、サイバー社会における攻めと守りの両面から人材育成に取り組む、井口 信和 教授に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。
セキュリティ対策をやらないこと自体がリスク
−サイバーセキュリティ対策を実施しないリスクは何でしょうか。
「最近、海外の企業だと取引先を選ぶ基準のひとつに、セキュリティ対策が十分かという要件が含まれることが増えていると聞きます。セキュリティ事故を起こせば、社会的な信用を失い、経営陣が退任するということも珍しくありません。日本でもこのような動きが広がることが予想されますが、そうなると、セキュリティ対策をやらないことが取引先を失うことに直結しますので、対策をとらないこと自体がリスクになると言えます。」
−どのような対策をとる必要があるでしょうか。
「日本の場合、安全対策そのものがコストだと考えられ、何もないときはお金をかけたくないからやらない、そして問題が発生してから急いで対策するという繰り返しが多いと思います。しかしこれからはそうではなく、経営戦略のひとつとして入っているから事前に準備をしていくという考え方でないと、立ち後れてしまうのではないでしょうか。例えば、防災訓練と同様、セキュリティ事故が起こった際にはどういうルートで情報を共有し、いかに被害を収めるかを日頃から考えておくといった訓練も必要でしょう。」
対策を作って終わりになっていないか
−中小企業でも取り組みやすい対策はありますか。
「自社でできることと、できないことを切り分けて洗い出す作業は、お金をかけずにできます。その上で、実際の脆弱性診断を行うにはある程度お金がかかってくると思いますが、まずは自社のことを知るところからではないでしょうか。また会社のセキュリティポリシーも、政府や業界団体のガイドラインなどを参考にすれば作成することは可能だと思います。しかし、そうしたものを作っただけで満足してはだめで、実行させて守らせないと意味がありません。これは技術の問題ではなく、会社のマネジメントの話ですので、経営者が自分事としてチェックしていく必要があります。」
正常な状態を保つという成果に正当な評価を
−経営者は情報システム部門をどう評価すべきでしょうか。 「情報システム部門は、普段何もない正常な状態を保つために仕事をしています。そのため、外から見ると普段は何もしておらず、問題が発生したときになって初めて仕事をしているかのような印象を持たれがちです。経営者は、情報システム部門が社内のネットワーク環境を正常な状態を保っているという点や、想定外のインシデント(事故)が起こったときに、いかに最小限で被害を抑えたかという点を正当に評価すべきです。給与等の処遇面はともかく、情報システム部門がやりがいと誇りを持って仕事ができる環境を整えることは、ますます経営者にとって重要な仕事になっていくと思います。」
従来の常識にとらわれない感覚が求められるインターネット時代
vol.10 京都大学公共政策大学院 教授 岩下 直行 氏
日本銀行において、同金融機構局審議役・金融高度化センター長、同決済機構局Fin Techセンター初代センター長等を経て、現在京都大学公共政策大学院で教鞭に立つ傍ら、金融庁・経済産業省・総務省の審議会・研究会委員等を務め、日本各地で講演及びメディア対応等をこなす、岩下 直行 教授に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。
直接的な金銭被害より大きなビジネス停止リスク
−サイバーセキュリティ対策を実施しないリスクは何でしょうか。
「利用者の信頼を失い、ビジネスが立ちゆかなくなる事例はたくさんあります。7pay(セブンペイ)の不正アクセス問題もそうですが、実際の被害額自体よりも、ビジネスが続けていけなくなり、それまでシステムを苦労して立ち上げてきた努力が無になることは大きな損失です。中小企業だと存亡の危機に陥ってしまうかもしれません。」
−どのような感覚を持って対応すべきでしょう。
「セキュリティはよく鎖に例えられます。鎖は弱いところから切れるので、全体の中でどこが弱いかを見極める必要があります。セキュリティ担当者は、ついつい個別のシステムに目が行きがちですので、これとこれを組み合わせてはいけないというように、対策の全体像を見て判断できる人の存在が重要になります。そういう意味で、自社のシステム全体として大丈夫かをプロに見てもらうということが大事になります。」
セキュリティでは、「保守的=安全」は成り立たない
−経営者は情報システム部門をどう評価すべきでしょうか。
「特に中小企業の場合、「うちは昔からずっとこういう情報システムを組んでやってきました」ということが、信頼の根拠になっているケースが多いです。簿記や会計学などでは、従来とやり方を変えないことが保守的でよいこととされますが、セキュリティについてはむしろ最新の技術に対応して変わることが大事です。情報システム部門に対して、経理部門に接するように、大事なことを保守的にやりなさいというのは、良い経営者とは言えないかもしれません。安全性が大事だからこそ、今の時代、情報システム部門は新しいものに手を出さないといけない。他のビジネスのように、保守性=安全性とは思わないことが大事です。」
昔の対面取引だけの時代に戻れるのか
−サイバーセキュリティ対策は費用対効果が見えにくいとよく言われます。
「これは企業経営をどうするかという問題そのものですが、システムに問題があれば、自社の事業自体が止まってしまうリスクがあります。費用を節約しようという感覚でサイバーセキュリティ対策に投資しない場合、その結果失うものが、情報システムが担っている事業全体であるというトレードオフで考えるべきです。今の時代、システムを使うことで従来できなかったことができるようになっています。これは企業にとって富の源泉がITであるということを意味します。したがって、その源泉を全部失って昔の対面取引だけの時代に戻ってよいのであれば節約してください、という話になります。ITから受けているメリットを感じ、維持するのであれば、支払わなければならない最低限の義務のようなものがあると意識しないといけません。」
組織の持つ目に見えない「情報資産」の価値を知ることが大事
vol.11 情報通信研究機構(NICT) ナショナルサイバートレーニングセンター サイバートレーニング研究室長 衛藤 将史 氏
2005年、国立研究開発法人情報通信研究機構(NICT)に入所。以降、2016年まで同機構サイバーセキュリティ研究室 研究員。2017年から現職。ネットワーク運用管理技術、NICTER プロジェクト、IPv6セキュリティ、ITSセキュリティなどサイバーセキュリティ関連技術の研究開発、国際標準化、人材育成に取り組む。2007年暗号と情報セキュリティシンポジウム (SCIS) 論文賞、2009年科学技術分野の文部科学大臣表彰(科学技術賞)等を受賞。博士(工学)。
サイバーセキュリティ対策の「マニュアル」は、すでに存在
−経営者の方に知って欲しい考え、あるいは、心得を挙げるとすれば何でしょうか。
「幅広いセキュリティ分野の中でも、既にある程度成熟している領域があります。例えばセキュリティインシデントが発生した際の初動対応手順や、組織内にどのようなリスクがあるのかを分析する手順等については、いわゆる『マニュアル』が既に出来上がっています。経営者の中には、セキュリティについて目に見えない漠然とした不安という感覚をお持ちの方が多いと思いますが、本当はそうではなく、今はどういう脅威があって、どういうリスクや被害に繋がるかということを整理する手立てが用意されています。セキュリティの分野は特殊で専門的だという先入観を持ちやすいかもしれませんが、既に世の中は、セキュリティ分野の基本的な対応手順を皆様に理解していただけるフェーズになっているのです。」
セキュリティ対策の情報がまとまった「ドキュメント」を活用
−そのような「マニュアル」をどのように学べば良いでしょうか。
「世の中には大変良くまとまった『ドキュメント』があり、例えば、IPA(独立行政法人 情報処理推進機構)の『中小企業における組織的な情報セキュリティ対策ガイドライン』や、NISC(内閣サイバーセキュリティセンター)の『小さな中小企業とNPO向け情報セキュリティハンドブック』といったドキュメントでは、企業のセキュリティ対策について気を付けるべきポイントやチェックリストなどが、非常に端的にまとまっています。お忙しい経営者の方が要点を把握する意味では、これらのドキュメントは、大変参考になると思います。さらに、NICT が総務省と共に実施している『実践的サイバー防御演習 CYDER』においても、セキュリティインシデントへの初動対応を実機による実技も交えながら、一日で学ぶことができます。」
「資産」と「リスク」が分かれば、必要な「費用」の算定が可能
−組織はセキュリティ分野についてどのように経営・投資判断をすれば良いでしょうか。
「例えば、製造業において物の価格を決める基準が明確化されているように、セキュリティ分野でも、ある領域においては基準が明確化されているものがあります。例えば、リスク管理という領域では、企業の中にどのような『情報資産』があるかを整理した上で、機密性・可用性・完全性の基準を当てはめていくことで、その情報資産にどのくらいの『資産価値』があるのかが分かります。目に見えない『情報資産』の価値をベースとして、組織にどのようなリスクがあり、それを守るための『費用』がどのくらいかかるかを算定出来ますので、企業内の体制づくりや投資の判断基準になると言えます。
セキュリティ対策はなかなか理解しづらい領域ではありますが、このような評価基準や先述のマニュアル等がすでに整備されていますので、そういった既存の知識を活用して、適切に対策を進めていただきたいです。」
サイバーセキュリティに真剣に取り組む企業が勝ち組
vol.12 奈良先端科学技術大学院大学 教授 門林 雄基 氏
産官学連携によるサイバーセキュリティ研究開発に20年以上、サイバーセキュリティ人材育成に10年以上にわたり従事するとともに、欧米セキュリティ専門機関とサイバーセキュリティ国際標準化を推進する、奈良先端科学技術大学院大学 門林 雄基 教授に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。
20世紀の産業革命は「火」、21世紀の産業革命は「情報」から
−サイバーセキュリティ対策を実施しないリスクは何でしょうか。
「一番怖いのは事業停止です。中小企業に攻撃を仕掛けて、川上(取引先)にさかのぼり攻撃するというケースが増えていますので、中小企業もサイバーリスクを自分事としてとらえて、対策を行うことが不可欠です。」
−サイバーセキュリティは難しいという印象があります。
「サイバーセキュリティを「火」で例えてみましょう。20世紀の産業革命は、火を使いこなすことで実現しました。私達は、火の使い方をマスターしたことで、蒸気機関や内燃機関を生み出し、移動の自由を手に入れました。21世紀には、これと同じことが「情報」で起こり、産業革命に近いことが進行しています。情報、つまりITを使いこなすということの中には、セキュリティも入ります。火を何の知識もなく放置したり誤って使用すれば火事になりますが、ITも同じことです。確かにITという技術は難しいですが、それを安全に使うための集大成がサイバーセキュリティです。だからといって、全員がサイバーセキュリティの技術に詳しい必要はなく、詳しい人を周りに置くということが基本の基本になると思います。」
“Data is the new oil”(データは新しい石油である)の意味
−経営者は情報システム部門をどう評価すべきでしょうか。
「日本は、情報システム部門の扱いが低いことが一番の問題です。海外では、DX
1、サイバーセキュリティなどの難しいテーマを扱わなければならない戦略部門として高い位置づけになっていることが多いです。サイバーセキュリティに真剣に取り組んできた企業と、そうではない企業の格差は拡大しており、ビジネスとして伸びているかどうかと明らかに相関があると感じます。海外では、“Data is the new oil”(データは新しい石油である)と言われることがありますが、データは21世紀の企業競争力の源泉です。そうであれば、優秀な人を配置する必要がありますし、継続的に投資も行っていく必要があります。トラブルなく情報システムを動かすということは、それぐらい価値があることだと認識すれば、自ずと情報システム部門への態度も変わるはずです。」
個人データ保護違反は、ヨーロッパでは売上の4%の罰金
−サイバーセキュリティ対策は費用対効果が見えにくいとよく言われます。
「業界によって違うので難しいですが、ヨーロッパでは個人データを適切に保護できない企業は、条件によっては売上の4%もの罰金を取られてしまいます
2。利益ではなく売上の4%というのは企業にとって非常に大きなインパクトです。これが意味することは、個人情報を保護するためには、売上の4%ぐらいの投資をすべきという考えがあるとも言えます。売上の4%を取られるぐらいなら、売上の2%ぐらいはセキュリティに投資してもよいという話になるかもしれません。実際にこれまで多くの訴訟事例がありますので、そうした実例もベースにして投資判断するということが、経営者には求められるでしょう。」
1 DX(Digital Transformation:デジタルトランスフォーメーション)とは、企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立することです。【DX推進ガイドライン】(2018年12月経済産業省)
https://www.meti.go.jp/press/2018/12/20181212004/20181212004.html
2 GDPR(General Data Protection Regulation:一般データ保護規則)とは、EUにおける個人データやプライバシーの保護に関して厳格に規定した規則です(2018年5月25日施行)。
【個人情報保護委員会HP】
https://www.ppc.go.jp/enforcement/infoprovision/laws/GDPR/
「ウチだからむしろ狙われる」という意識を
vol.13 ISACA大阪支部 常務理事 石井 秀明 氏
世界180ヵ国に14万人の会員、200以上の支部を有するISACA(情報システムコントロール協会)の一支部として、情報システムの監査やコントロールに関する月例会の開催や、「サイバー犯罪に関する白浜シンポジウム」の運営に尽力する、ISACA大阪支部 石井 秀明 常務理事に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。
「大した情報を持ってないから大丈夫」は、むしろ逆
−サプライチェーン全体のセキュリティの確保に企業はどう取り組むべきでしょうか。
「サイバー攻撃を目論む悪者は、本丸を直接狙いません。守りの堅い本丸に正面から攻撃をしかけても、なかなか攻略できないからです。そこで、まず守りが手薄な取引先や関係会社を狙い、様々な情報を盗み、得られた情報を組み合わせて本丸を狙います。「ウチなんて小さいところは狙われない」「自分達は重要な情報を持っていないから大丈夫」なんてことはありません。むしろ、「ウチだから狙われる」と考えを改める必要があるでしょう。」
優しく声をかけてあげて
−経営者は情報システム部門とどのようにコミュニケーションをとればよいでしょうか。
「優しく声をかけてあげて下さい。経営者は、販売や営業など外部に見える自社ビジネスについては、夢や期待を語りその成功をたたえますが、自社の守りに関する業務については、そうしないことがあります。情報システム部門は、自社の仲間やお客さまをその脅威から守り抜いています。なのに、そもそも経営者に業務自体が理解されていないことは、モチベーションが湧かないだけでなく、業務品質の低下を招きかねません。自分のわからない(できない)仕事をしてくれているからこそ、より耳を傾ける姿勢が必要でしょう。」
得を取るか、損を避けるか、の両面で考える
−サイバーセキュリティ対策は費用対効果が見えにくいとよく言われます。
「人が何かを判断するときは、得を取るか、損を避けるか、ということを考えますが、サイバーセキュリティは両方の面で考えることができます。まず、得を取るという観点からは、サイバーセキュリティ対策は他社との差別化になるということです。今後、対策を適切に行っている企業とそうではない企業のどちらが選ばれていくかは明らかですね。また、損を避けるという観点からは、投資をしなかったことで被害があった際、お客さまなどに経営者自らの口で説明できるかということが問われます。そうした両面を見ながら、自らの説明責任を果たすことが出来る範囲で、投資の範囲を決めていくということになります。」
何も起きないのは、対策が機能しているか、運がいいか、気付いてないか
vol.14 一般社団法人京都府情報産業協会 副会長 三添 忠司 氏
京都府内地域産業の情報化を促進することを目的として、IoT、サイバーセキュリティなどのキーワードに呼応したセミナーや研究会活動を実施する一般社団法人京都府情報産業協会の、三添 忠司 副会長(株式会社島津ビジネスシステムズ代表取締役社長)に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。
セキュリティ対策が不十分だと、サプライチェーンに入れない
−企業はセキュリティ対策にどのように取り組むべきでしょうか。
「サイバー攻撃は、非常に複雑化・巧妙化しており、対策しているつもりでも引っ掛かって被害が出ています。大企業はかなり対策を講じてきていますが、今の攻撃者は、仕入れ先、販売先など、いわゆるサプライチェーンの中の弱い部分を突いて、大企業のセキュリティを効率的に突破しようとしています。したがって、大企業と取引関係にある中小企業などは、自社のセキュリティ対策が十分できているかどうかチェックを受けるのが当たり前になると思われます。今後、セキュリティ対策が十分できていない会社は、サプライチェーンに入るのが難しくなっていくのではないでしょうか。」
情報システム部門からの定期的な報告を
−経営者は情報システム部門をどう評価すべきでしょうか。
「結果だけを見て何も起こっていないというのは、セキュリティ対策がきちんと機能しているか、運がいいか、気付いていないかのいずれかです。現実には様々な脅威が起こっていますので、どのようなことが起こっていて、どういう対策を打って、その結果どうなったのかを情報システム部門から定期的に報告してもらうことで、自社の現状はある程度把握できるようになります。そのように経営における情報システム部門の機能をきちんと位置づけることが、情報システム部門を適切に評価する一歩になると思います。」
経営トップはセキュリティの重要性を理解している、しかし…。
−サイバーセキュリティ対策は費用対効果が見えにくいとよく言われます。
「経営トップは、セキュリティの重要性自体は誰よりもよく理解しています。しかし、具体的にどこに課題があるのかが分からなければ、投資額の前にそもそも投資が必要なのかどうかの判断ができません。自社において何を攻撃されて何を失うと困るのかを、具体的に考えていくとよいかもしれません。例えば、技術が一番重要な会社であれば、技術情報がどこに保存されていて、どのようなセキュリティ対策がなされているかということは、会社の命脈を絶たれるような事態に発展し得る重要な経営課題です。何かがあったときに失う信頼という価値は、一般的な投資案件と比べても、非常に大きなインパクトがあるということは、理解しておきたいポイントです。」
