総務省トップ > 組織案内 > 地方支分部局 > 近畿総合通信局 > 2020年サイバーセキュリティ月間企画 「地域のキーパーソンに聞く、経営課題としてのセキュリティ」

2020年サイバーセキュリティ月間企画
「地域のキーパーソンに聞く、経営課題としてのセキュリティ」

セキュリティは外部からの期待感
vol.15 日本ネットワークセキュリティ協会(JNSA) 西日本支部長 嶋倉 文裕 氏

 西日本に集積する中小企業を対象に、リスクの変化に応じた機動的な対応を行うことができる機会づくりを支援する、NPO日本ネットワークセキュリティ協会(JNSA) 嶋倉 文裕 西日本支部長(富士通関西中部ネットテック株式会社)に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。





万一事故が起こったとき、ちゃんと謝ることができるか
−経営者がセキュリティ対策についてまず認識すべきことは何でしょうか。
「経営者は、自社のビジネスのお客様が誰であるかを意識し、お客様に迷惑をかけたくないと考えているはずですが、万一事故が起こったときには、ちゃんと謝ることができるかという観点も大事です。つまり、「自社ではここまでのリスクに対して、日々の業務の中でこういう仕組みを作って対応していたが、事故が起こってしまった」ということを、社長が自らの言葉で説明できるかどうかで、説明責任を果たしたかどうかの評価が大きく変わります。」

−自社に見合うセキュリティ対策をどのように考えればよいでしょうか。
「結局のところ、セキュリティというのは自発的なものではなく、お客様や外部からその会社に対する期待感と言えます。生産や出荷が止まる事態になれば、外部を巻き込み大きな損失が発生しますし、個人情報を漏洩させると、コールセンター設置や裁判費用などの出費もかさむでしょう。そうした将来発生しうる損失に対して、自分達が外部の期待に応える対応ができていると言えるためには、自社の儲けの範囲でどのような投資をすべきか、と考えてみるとよいかもしれません。」

経営者が考える「リスクとは何か」が共有されているか
−経営者は情報システム部門とどのようにコミュニケーションすべきでしょうか。
「情報セキュリティは際限がないので、情報システム部門としては経営者から「いつまで金をかければ出来るのか」と言われるのが辛いです。経営者にはお金の話からではなく、経営者が考えるリスクとは何なのかをまず話してもらえればと思います。そしてリスク認識を共有した上で、現在どこまでのリスクに対応できていて、今後どうなっていくのかという話ができると、情報システム部門とのコミュニケ−ションはスムーズになるのではないでしょうか。」

セキュリティ・バイ・デザインという考え方
−情報システム部門は、「何も起こらないことが当たり前」で成果が見えにくいと言われます。
「JNSAでは、情報セキュリティとしての、KGI(Key Goal Indicator:重要目標達成指標)とKPI(Key Performance Indicator:重要業績評価指標)を設定しようと言っています。例えば、マルウェア1に感染して製品を出荷できないという状況を0件にするという目標(KGI)を立てて、それを達成するための施策を実施するわけですが、その施策がうまくいっているかどうかを評価するためのKPIを作成します。システムを導入してから目標設定するのではなく、導入するときに情報セキュリティ対策の目標を決めて、それに対する評価基準をあらかじめ設定しておくという「セキュリティ・バイ・デザイン」という考え方を、経営者と共有することが重要になります。」
 
1  マルウェアとは、ウイルスソフトなど、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。
 

セキュリティ対策に、企業同士、人同士のつながりの視点を
vol.16 OWASP Kansai 代表 森田 智彦 氏

 セキュリティのガイドライン制定やオープンソースのセキュリティソフトウェアを開発している国際的な団体OWASP(Open Web Application Security Project)の関西支部として、誰でも参加できる間口の広いコミュニティ運営を目指す、OWASP Kansai 森田 智彦 代表(写真右)及び伊藤 太一 氏(運営委員)(写真左)に、コミュニティ目線での企業経営におけるサイバーセキュリティ対策の勘所を聞いた。


困ったときに頼れる社外の仲間づくり
−コミュニティ活動だからこそできる取組として、どのような点が重要でしょうか。
「OWASPは、みんなの技術・知恵・悩みを共有できる場として、スキル、役職、業種、国籍、性別、年齢に関係なく、カジュアルなスタイルで楽しくタイムリーなテーマの情報交換ができるのが特徴です。会社の枠組みにとらわれていないからこそのゆるさが適度に存在しつつも、より生々しい深い議論ができる機会になっていることが非常に重要なポイントです。」

−どのような悩みを抱えている方々が参加されていますか。
「コミュニティ参加者の中には、社内で一人情シス状態(社内情報システム担当が一人だけの状態)になり苦労されている人もおられます。OWASP Kansaiから直接的な答えを提供することはできないかもしれませんが、参加者間の情報や悩みの共有により、解決に近づくケースもあるのではないかと思います。いざというときに頼れる存在が社外にもいるかいないかで、随分状況が違ってくることは間違いありません。」

オープンな場で鍛える目利き力
−中小企業がサイバーセキュリティに取り組むにあたってのヒントはありますか。
「何を守るべきか、どこまで許容できるかなど、情報資産やリスクの整理整頓が必要です。これをやらないでセキュリティ対策を考えると、予算は青天井になり費用対効果が悪化します。過剰あるいは不足したシステム導入に陥らないよう、コミュニティのようなオープンな場で勉強すれば「目利きする力」を育てることも一定程度可能かと思います。」

情報の出し方の訓練
−コミュニティにおける情報交換で気をつける点はありますか。
「所属企業の本業に直結するサービスのコアな部分は口外できないことは大前提です。しかし、セキュリティ対策は、企業同士で連携していくことが必要です。コミュニティは発表を大事にする文化があり、情報をインプットしてくれた人には、「次にこうやったらどうか」とか「同じところでつまずいていたけどこうしたら解決できたよ」とか、参加者からのフィードバックがあります。機微なことは伏せつつも、汎用性のあるエッセンスを抽出して説明するスキルは、経営者層への説明の際にも使えるスキルですので、情報の出し方の訓練にもなります。社員をそうした場にどんどん出してあげる会社がもっと増えていくといいですね。」


セキュリティが、セキュリティに詳しい人だけのものになってはいけない
vol.17 総関西サイバーセキュリティLT大会 代表 池田 耕作 氏

 2017年の初開催以来、誰でも参加しやすいLT(ライトニングトーク)1大会として関西最大級のサイバーセキュリティのコミュニティにまで成長した、総関西サイバーセキュリティLT大会の池田 耕作 代表に、コミュニティ目線での企業経営におけるサイバーセキュリティ対策の勘所を聞いた。







セキュリティに興味がない人に、どう入口を用意するか
−コミュニティ活動だからこそできる取組として、どのような点が重要でしょうか。
「セキュリティに関わる人の裾野を広げることです。そうした取組は直接的な利益が見えないので、どうしても企業としては取り組みにくい領域です。しかし本来、セキュリティの専門部署ではないIT担当や営業担当であっても、セキュリティと全く関係ない人はいません。セキュリティに興味が無い人に対してどんな入口を用意するかは大事なことなので、セキュリティが、セキュリティに詳しい人だけのものになっていないかを意識しながら活動しています。」

セキュリティにかけられる年間予算37万円のケース
−中小企業がサイバーセキュリティに取り組むにあたってのヒントはありますか。
「ある県の中小企業が使える年間セキュリティ予算を、会社の平均売上やそれに対するIT予算などから試算したことがあるのですが、従業員9人の会社で年間37万円でした。確かに会社の規模が小さいほどセキュリティ対策予算を確保しづらくなりますが、それでもできることは色々あります。例えば、Windowsやウイルス対策ソフトの設定を少し見直すだけでも随分強固になりますし、今ではある程度安価でSOC(セキュリティオペレーションセンター)2業務を外注することも可能です。IT分野で何が起こると自社にとって致命傷になるかは経営者として知っておく必要がありますが、百点を目指さなくてもよいという気持ちで、出来ることから始めてみてはいかがでしょうか。」

手軽に、気軽に始められることから
−突然社内のセキュリティ担当になった初級者は何から始めればよいでしょうか。
「実は僕も、5年ほど前に突然セキュリティ部門に異動になりました。それまでもIT関係の部署でしたが、セキュリティを専門でやるというのは初めてでした。僕が最初にやったことは、セキュリティが詳しい人に「誰のTwitterをフォローしていますか」と聞くことでした。これはたぶん一番手軽に鮮度ある情報を拾うことが出来る方法のひとつです。そのように興味のアンテナを1本立てて、手軽に、気軽に始められることからやってみて、徐々にそのアンテナを伸ばしていくのがやりやすい気がします。セキュリティを学ぶハードルを高くし過ぎないこと、これは企業経営にもコミュニティ運営にも共通する課題だろうと思います。」


1 LT(Lightning Talks:ライトニングトーク)とは、カンファレンスやフォーラムなどで行われる短いプレゼンテーションのことです。
2 SOC(Security Operation Center:セキュリティオペレーションセンター)とは、ネットワーク上の通信や特定の機器のログ等を監視し、予兆を含むサイバー攻撃の検知、また分析、対策のアドバイスを行う組織のことです。


みんなで守るために、情報共有の場が不可欠
vol.18 tktkセキュリティ勉強会 代表 宮田 明良 氏

 関西における情報セキュリティの勉強会があまりないという問題意識から、2016年に情報セキュリティの知識や技術の向上だけでなく、人と人とのつながりを広げられる場としてtktkセキュリティ勉強会を立ち上げた、宮田 明良 代表に、コミュニティ目線での企業経営におけるサイバーセキュリティ対策の勘所を聞いた。



被害を受けるのはみんな同じ
−コミュニティ活動だからこそできる取組として、どのような点が重要でしょうか。
「tktkセキュリティ勉強会は、テクテク一歩ずつみんなで学んでいこうという意味を込めて名付けました。今まで犯罪の多くは国内で完結していましたが、サイバー犯罪では海外から攻撃を受けることも多いです。その意味では、被害を受けるのは日本国内にいる以上みんな一緒です。そうすると、どうせならみんなで守ろうよと思いますし、そのためには可能な限り情報共有する必要があります。そうした情報共有が出来る場は、政府レベルのものも重要ですが、コミュニティとしてより気軽に話し合える場を提供するというのも非常に重要だと思います。」

少しの対応で格段に高まるセキュリティ
−中小企業がサイバーセキュリティに取り組むにあたってのヒントはありますか。
「中小企業の方々も「OSをアップデートしないとだめですよ」といった話をどこかで耳にされたことはあると思いますが、それでも何となく後回しにして結局やっていないというケースが多いのではないでしょうか。これは、OSをアップデートするだけで格段にセキュリティが上がるという事実が伝わっていないからだと思います。専門家の手を借りれば、古いシステムのままセキュリティを上げることも可能です。しかし、新しいOSに変えて、自動アップデートした方が、コストも手間もかかりません。こうした明確なメリットがあることが、中小企業に伝わっていないというのが歯がゆいですね。」

コミュニティ参加の価値の高さは破格
−現場のセキュリティ担当者はどのようにスキルを高めればよいでしょうか。
「現場の最前線では、日々どう手を動かして、具体的にはどういうコマンドを打てばよいのかという問題に直面しますので、実際にやっている者同士でないとなかなか分かり合えません。そういう現場情報を交換できるというのはコミュニティの醍醐味の一つだと思います。一般的に手を動かす演習に参加すると、1日10万円以上かかることも珍しくはありませんが、コミュニティではそういう講師がボランタリーに来てくれたりするので、破格の価値だと思います。企業もなかなか社員の研修費用を負担できないと思いますが、コミュニティ活動への参加を奨励するなど、うまくコミュニティを活用するというのもよいかもしれません。」


事業部門こそセキュリティを知るべき時代
vol.19 エムオーテックス株式会社 代表取締役社長 河之口 達也 氏

 安全と生産性の両立を追求する「Secure Productivity」をビジョンに掲げ、本来企業がやるべきことに専念できるIT環境の実現を目指し、様々な啓発活動等を実施している、エムオーテックス株式会社 河之口 達也 代表取締役社長に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。






原理原則はシンプル
−中小企業はセキュリティ対策にどう取り組むべきでしょうか。
「中小企業の経営者からすれば、複雑なサイバーセキュリティ対策の導入は現実的ではありません。セキュリティ対策の原理原則まで立ち返れば、ソフトウェアはアップデートしようとか、ID・パスワードは他人に悪用されないようにしようとか、そうしたシンプルな話に行き着きます。ただ世の中には、複雑な対策をしないと大変なことになるとあおる人達もたくさんいますので、現実的に何をすればよいか分からず、難しく考えてしまいがちです。しかしまずは、基本的なことをシンプルに考えて、できるだけ前で止めることを意識するところから取り組むことが大切だと思います。」

ヒヤリハット情報の共有
−経営者層がセキュリティ担当部署を適切に評価するにはどうすればよいでしょうか。
「どんな会社でも日々様々なインシデント(事故)に近いことが起こっていますが、その事実が経営者に全く伝えられていないので、経営者からすると普段何も起こっていないと思っているのだと思います。ある会社の事例でなるほどと思ったのが、会社としてトップを含めた意識を変える取組として、そういうヒヤリハット1情報をものすごいスピードで共有している会社があります。そういう会社は、危機感の中で無事に済んでいるという認識が普段から醸成されており、日々対策を行っている情報システム部門の評価にもつながっています。」

会社の中の意識を変える事業部門の発言力
−一般社員や事業部門からはセキュリティ対策は面倒だと思われがちです。
「米国の企業経営者との話でもよく出るのは、実は事業を知っている人がセキュリティの知識を持つことが大事ということです。ある事業についてセキュリティ対策をしなければならないということを、会社の中で発言力を持って説得できるという意味では、その役割は技術者にあるのではなく、むしろ事業部門のトップの役割だと言えます。サイバーセキュリティ対策はいまや会社経営上必須ですし、昔とは時代も変わりましたので、事業部門のトップにもセキュリティの役目があるということが社会的な認識になると、少しずつ会社全体での理解も深まっていくのではないかと思います。」


1 ヒヤリハットとは、一般的には、事故には至らなかったが、ヒヤリとしハッとした問題のことです。


サイバーセキュリティ対策は、「未来へ挑戦するための重要な投資」
vol.20 株式会社オプテージ 常務執行役員 河田 靖弘 氏

 個人及び法人・公共向けのシステムインテグレーションからITインフラまで、様々なサービス、ソリューションを提供するとともに、情報セキュリティの向上を重要な経営課題のひとつと認識して日々対応にあたっている、株式会社オプテージ 河田 靖弘 取締役 常務執行役員 経営本部長に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。




未来へ挑戦するための重要な投資
−御社のサイバーセキュリティの位置付けと考え方についてお聞かせください。
「弊社は、この4月から社名を「オプテージ」(旧社名:ケイ・オプティコム)に変更しましたが、従来から情報通信事業を行っており、通信とソリューションを融合した新しいサービスの創出をミッションの一つとしています。IT市場で情報通信事業をビジネスとして行っていく上で、弊社はサイバーセキュリティ分野への対策をコストとして見るよりも「未来へ挑戦するための重要な投資」と考えています。サイバーセキュリティ分野への投資を「必要な原価」と考えて企業活動を行い、そこに強い責任を持って取り組んでいるところです。
我々としては、品質を損なわずお客様に安心して利用いただけるサービスを提供するため、サイバーセキュリティを経営方針の重要な項目として位置付けており、経営層も参加している「リスク管理委員会」の中に「リスク・情報セキュリティ部会」を設置し、月1回の定期的な会議を開催しています。この会議ではセキュリティの意識や対応、インシデントの発生状況などを部門横断的に共有して、PDCAに反映しています。」

自社の経営に与える影響を想像すること
−セキュリティ対策として何から手をつけることがはじめの第一歩になるでしょうか。
「実際にインシデントが起こってしまった場合に自社の経営に与える影響を想像することかなと思います。例えば、顧客情報がすべて流出してしまった場合、どういうインパクトがあるのか、お客様から得た信頼はどうなるのか、また、お客様の「安全・安心」を守るブランドはどうなるのかなど、そのような状況を想定することでセキュリティへの取組をどこまで行わなければならないのかが明確になってくるのではないかと思います。そしてその方針を「情報セキュリティポリシー」という形で社外にも公開することで、従業員に対しても危機意識を共有することができ、そのことが具体的な社内での仕組みやCSIRT1への組織作りに繋がっていくのではないかと思います。また、自社だけでなく他社との情報共有も大事だと考えています。日本シーサート協議会にも参加して情報を吸収し、他社の取組情報を積極的に収集し、自社の対策の参考としています。」

継続的にキャッチアップする姿勢と「橋渡し人材」の育成
−成果が見えにくいセキュリティ部門と経営層の評価、また、工夫している点などは。
「普段は「何もインシデントが起こっていない」というように思えますが、実際にはそういう状態ではなく、インシデントを水際で止めてくれているCSIRT、情報管理部門には感謝しています。日々何らかの新しい脅威が世の中で発生していると思っていて、それに対して、自分たちがどこまで対策ができているのかということを顧みるだけでも、やはり相当な危機意識が醸成できます。また、どこまで対策ができているのか、ということを考えなければならない立場である経営層がセキュリティ担当者に対して継続的にキャッチアップし、コミュニケーションを取る姿勢も必要だと考えています。
弊社では、インシデント対応訓練を社長以下で定期的に行っており、サイバーセキュリティの事故が起こった場合を想定した訓練や従業員に対しての標的型のメール訓練を行っています。セキュリティ上の課題の洗い出しだけでなく、当社ではどこまでセキュリティ対応ができていて、どの対応ができていないのかということが明らかになりますし、従業員が参加することで危機感の共有にもなると考えています。ただ、セキュリティの細かな技術やその対応の点については、経営層に対してセキュリティの技術等のテクニカルな情報をわかりやすく伝えることができる「橋渡し人材」も必要となってくると思います。弊社では、「橋渡し人材」の育成のために、IPAの産業サイバーセキュリティセンターが実施している「中核人材育成プログラム」に毎年参加して、その育成に努めており、その人材を中核にしてPDCAの対応や各部署の部門長・従業員への対応を行っております。」


1 CSIRT(シーサート:Computer Security Incident Response Team)とは、組織内の情報セキュリティ問題を専門に扱う、インシデント対応チームのことです。


取引先の選定に、情報管理の視点が強まる傾向
vol.21 川崎重工業株式会社 関西支社長 飛永 佳成 氏

 1896年神戸に創立して以来、陸・海・空の各分野で最新のテクノロジーを生み出し続け、輸送用機器、エネルギー、産業用設備などの重要インフラ関連事業において、国内外に高機能・高品質で安全な製品・サービスを展開することを目指す、川崎重工業株式会社 飛永 佳成 関西支社長に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。




人が介在する部分のセキュリティに教育訓練を
−経営方針にサイバーセキュリティをどのように位置付けられていますか。
「当社では、刻々と変化する情報セキュリティ・リスクに対応するため、「ルール」「教育・訓練」「技術対策」の3つの視点からマネジメントサイクルをまわし、情報セキュリティ対策を実施しています。その際、サイバー攻撃に対する技術的な話ももちろん大事ですが、その前に人が介在する部分が一番危ないと感じています。例えば、安易にデータを社外に持ち出したりすると、知らないうちに漏洩し被害が広がる危険がありますので、ルール作りとそれを完全に守れるようにする人的な教育訓練は、セキュリティ対策の根幹になると思います。」

情報管理の意識が弱いと取引上マイナス
−サプライチェーン全体のセキュリティをいかに確保するかが問題になっています。
「一昔前までは、技術情報は紙の図面でやりとりしていましたが、今はデータでのやりとりになっており、その保全対策をしなければならなくなりました。こうなると、何かあった時にその都度手当てするのでは遅く、あらかじめ厳しくチェックするということにならざるを得ません。それは社内の管理体制はもちろん、ベンダーや取引企業に対しても及びます。情報管理にずさんな企業だと思われると、怖くて取引できないという印象を持たれ、取引上マイナスの影響を受けやすくなると思います。」

どんどん上がる常識ライン
−中小企業であっても求められるセキュリティ対策の水準はありますか。
「一般的には、これをやっているので大丈夫ということは誰にも言えません。ですから、一義的には、情報セキュリティ対策に手を抜いていないということを取引先に見せていくことが大事ではないでしょうか。しかし、この常識ラインがどんどん上がっていて、自社の対策水準を常に時代に合わせて高めていかないといけないというのは、私達自身も実感しています。しかしどれだけ対策をしても、結局は1つの穴から漏れてしまうという意味では、やはり一番重要なのは、情報に携わる一人一人の問題意識ということになるのだと思います。」


ページトップへ戻る