サイバーセキュリティは最重要経営課題の一つ
vol.22 協和テクノロジィズ株式会社 代表取締役 十河 元太郎 氏
創業から70年を超える長きに亘り、社会インフラ事業における通信インフラの設計から構築、保守までを事業の中心としながら、無線通信からAI/IoT等の最新IT技術まで、広義の通信技術を駆使してソーシャルICT企業を目指す、協和テクノロジィズ株式会社 十河 元太郎 代表取締役 兼 CEO/CIOに、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。
ITがないと経営ができない、競争力が保てない時代
−御社のサイバーセキュリティの位置付けと考え方についてお聞かせください。
「今の変化が激しく先が読めない時代において、ITは経営上切り離せないコアなものであり、ITがないと経営ができない、競争力が保てない時代であると考えています。そういった意味で、自社のIT化/デジタル化をミッションとする情報システム部門は、最重要部門の一つであるべきと考えています。そのミッションの中には、自社の事業活動に関わるデータを収集/活用/分析することで、経営から担当レベルまで次の経営判断や行動への示唆を得られるようにすることや、様々なITツールの活用を推進し、より効率的で生産性の高い働き方を実現することなどがあり、それを実現するためには必ず「増え続けるデータをどうリスクから守るか」がセットになり、データの活用範囲が広がれば、同時に考慮しなければならないリスクも増え続けます。ITを活用した攻めの投資で「あるべき経営」を実現するため、またそのデータを使いリスクに直面する社員の皆さんを守るために必要なサイバーセキュリティは、その攻めの投資の一部であり重要な経営課題の一つと考えるべきだと言えます。」
「丸投げ」になってしまうと疎外感を感じさせてしまう
−セキュリティ対策は、情報システム部門に任せきりになりがちという話もあります。
「サイバーセキュリティは経営課題であり、情報システム部門だけの責任ではないとも言えます。セキュリティ対策に使えるお金は有限で、その中で投資先に優先順位をつけて残ったリスクに対してヘッジを行う必要があります。これこそ経営者にしかできない判断であるにもかかわらず、情報システム部門に丸投げされてしまうと、どうリスクヘッジの判断をすればいいかわからず孤立してしまいます。経営者は情報システム部門の担当者と一緒に「あるべき経営」を作っていくという意識が重要になってきますし、現場の方々の協力を得るためには、トップダウンだけではなくボトムアップのストーリーが大変重要で、そこを一緒に作り上げることも同じくらい大切と感じています。」
投資の正当性というものをより見えやすく
−経営上において何を判断基準にセキュリティ対策への投資をすればよいでしょうか。
「まずは、自分たちが「どのような情報資産/データ」を、「どこ(場所)」に「どんな形(形式)」で「何のため(目的)」に持っているかというのをしっかり把握し、そのデータがどれくらいの価値をもっているのか、それが漏洩した場合どういった損害が発生するのかということを認識しておくことが第一かと思います。当然、データはそれぞれの目的に合った「機密性」「完全性」「可用性」で格納されていなければならないので、まずはそのデータがあるべき「場所」「形式」で「防御」されているかを洗い出し、ギャップがあればあるべき形に持っていくことが、最初の判断基準になります。
そして、攻めのIT投資を行うことで、それに必要な守りのセキュリティ投資が出てきます。その攻めと守りの投資の総額と、それにより期待される売り上げや利益の向上を比較検討すれば、一般的に分かりづらいと言われるセキュリティの費用対効果に関してもその妥当性を判断することができ、またセキュリティも含めたIT活用は業種ノウハウの集約でもあるので、その外販まで含めて考えることができれば理想的で目指すべきところかと感じています。」
企業経営において、セキュリティは決算書と同じぐらい大事
vol.23 さくらインターネット株式会社 代表取締役社長 田中 邦裕 氏
データセンター事業を中心に、クラウドサービスやIoT関連事業など様々なインターネット関連サービスを提供する中で、サイバーセキュリティを自社ビジネス及び経営の根幹であると位置付ける、さくらインターネット株式会社 田中 邦裕 代表取締役社長に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。
事故は絶対に起こっている
−企業はサプライチェーン全体のセキュリティ確保にいかに取り組むべきでしょうか。
「当社にも毎月数千件レベルでサイバー攻撃がやってきますので、ずっと戦っていないといけない状況です。昔はサイバー攻撃といえばいたずらが多かったですが、今は経済性を伴っていますので、企業の知的財産、ソフトウェアや設計図などを、全部抜き取られてしまう可能性があります。攻撃は一番セキュリティが緩いところから来ますので、自社のデータなど誰も盗まないという認識はあり得ませんし、そういう企業こそむしろ事故は絶対に起こっていると思ってもらわなければなりません。」
自社だけが安く済むはずがない
−セキュリティ対策にどれほどコストをかければよいでしょうか。
「少なくともウイルス対策ソフトを入れたから万全という世界ではありません。もちろん会社によりますが、感覚的にはIT予算の1割から2割はセキュリティにかけた方がよい気はしています。ただ確実に言えることは、自分の会社だけが安く済むはずがないということです。今やシステムが停止すればビジネスも停止しますし、システムに任せていることを人間がやろうとすればどれだけお金がかかるかを考えると、ITにコストがかからないと考える方が間違いでしょう。」
−何から始めればよいでしょうか。
「外部の専門家を呼んで社員教育をやることは、すぐにでもできます。セキュリティ対策ソフトなどを入れるのももちろんよいですが、導入コストがかかりますので、まずは勉強することかなと思います。セキュリティが重要だということ自体を知らない人も結構多いので、そこからではないでしょうか。」
社員を大切にすることが、最重要セキュリティ対策
−経営者として認識しておくべきセキュリティ対策のポイントはありますか。
「企業経営において決算書を読むことが大事だというのは誰もが認めることだと思いますが、セキュリティへの理解はそれと同じぐらい大事になっているという認識が必要です。実は、社員を大切にし、社員を信頼してロイヤリティ(愛着度)を高めることが、最も重要かつ最も安いセキュリティ対策になります。システムで解決しようとしてもインシデント(事故)はなくなりませんし、結局は人です。これは情報システム部門への接し方にも当てはまります。運用管理担当は周りから褒められる機会が多くない分、経営者がそうした方々を大切にして、日頃から関心を払っているということを示していくだけでも、会社全体のセキュリティが向上するということを、是非知っておいてもらいたいですね。」
Should(するべきこと)と、Should Not(してはいけないこと)の徹底を
vol.24 株式会社さくらケーシーエス 代表取締役社長 神原 忠明 氏
1969年神戸に本社を置く「地域のための計算センター」として創業して以来、兵庫県下の民間企業、地方自治体、金融機関を対象としたシステム構築や運用管理サービス等を重点的に展開する一方、神戸商工会議所等の団体活動を通じて地域のセキュリティ向上にも取り組む、株式会社さくらケーシーエス 神原 忠明 代表取締役社長に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。
経験して初めて分かる怖さ
−経営者がサイバーセキュリティに関して最低限認識しておくべきことはありますか。
「一般的にITリテラシーが低い人や、ITに興味がない人ほどサイバー攻撃の対象となると言われますが、企業も同じです。脅威についてあまり考えずにいた結果インシデント(事故)を起こし、その時に初めて怖さに気付くという場合がほとんどだと思います。1995年の阪神・淡路大震災の直後、サーバーを自社内に置いているとリスクが高いという理解が広がり、データセンターでサーバーをお預かりする業務が急進するということがありました。この例ひとつをとっても、何事も前もって行うというのは大変難しいことだと言えますが、それでも経営者は、自社にとって何をどこまですることが本当に必要かを常に考えていなければなりません。」
「べからず集」がどんどん厚くなっている
−具体的にどのような対策から実施すべきでしょうか。
「自社にどういう情報資産があって、それがどこに置かれているのかを把握することです。その上で発生し得るリスクを認識し、適切な対策を講じる必要があります。具体的には、Should(するべきこと)と、Should Not(してはいけないこと)がどこまで徹底されているかをチェックしなければなりません。最近では、やってはいけないことが急速に増えて、いわば「べからず集」がどんどん厚くなっています。そうした状況ですので、社員の情報セキュリティの理解度を測るテストを実施したり、標的型攻撃
1を模擬したメールを出して訓練を行ったり、日々の絶え間ない努力が不可欠だと思います。」
対策できる限界を認める
−経営者は情報システム部門といかに接するべきでしょうか。
「とにかく怒ったらダメですね。セキュリティに100点はありません。95点まで対策が出来ていて、それでも破られたのなら叱っても仕方ありません。むしろ、破られたときの早期発見、初期対応がおろそかにならないことの方が大事です。その場合、経営者は少なくとも自社がどこまで対策を行っていたかを説明しなければならないので、日頃から情報システム部門の話を真摯に聞いて、経営者自身が自分なりに理解している必要があります。情報システム部門で対策できることには限界があることを認めて、対策できない領域は保険でカバーするなど、最後は経営者が判断していかなければなりません。」
1 標的型攻撃とは、特定の組織や人から機密情報を窃取するサイバー攻撃のことです。
セキュリティマネジメントは、“小さな課題”と向き合うところから
vol.25 株式会社ジェイコムウエスト 常務取締役 脇阪 博人 氏
大阪市に本社を置き、ケーブルテレビ・インターネット・固定電話等のサービスを提供し、地域に根ざす事業者として「365日安定したサービスを展開する」ことを会社の行動指針として掲げる、株式会社ジェイコムウエスト 脇阪 博人 常務取締役 コーポレート担当に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。
「社会の期待に応える」という会社の行動指針に基づくセキュリティ意識
−御社のサイバーセキュリティの位置付けと考え方についてお聞かせください。
「弊社は、ケーブルテレビサービスやインターネットサービスといったインフラのネットワークを持った事業を展開していますので、危機管理の面でBCP
1には何年も前から取り組んでいます。サイバーセキュリティもBCPと同じ位置付けで非常に重要な分野です。弊社では毎朝従業員と行動指針を唱和していますが、その中に「社会の期待に応える」という言葉があります。365日安定したサービスを提供し、安心・安全をお約束しますということですが、私たちは関西エリアだけでも100万件を超えるお客さまの情報を持っているので、それをしっかりと守っていかないといけないという認識を常に持っています。」
基礎的な情報こそ、しっかりと把握すること
−企業の経営層がセキュリティの分野で取り組むべき最初の一歩は何でしょうか。
「たしかにサイバーセキュリティ分野には専門的な知識が必要ですが、文系・理系を問わず経営層としては、まずは自社の状況をしっかり把握することが重要だと思います。例えば、「社内でPCは何台あるのか」「メールは1日何通来ているのか」といった基礎情報を知ることは、攻撃される可能性のある経路はどれくらいあるのかという自社の状況把握につながります。また、最近だとISAC
2やJPCERT
3のようなセキュリティの関連団体が多くできてきましたので、その組織に加入して経営層として情報を得ることも大事です。普段付き合いがない様々な会社からの話を聞いて社内に共有することで、社内の教育にもつながると思います。」
「意識⇔知識」、「ルール⇔管理」というマトリックス
−経営層としてセキュリティ担当者に対してどのような姿勢で接するのがよいのでしょうか。
「セキュリティ担当者が見つけた小さな課題は、経営層として社内にしっかりと共有していくことだと思います。私たちのような経営層側の人間がそういう姿勢を持っていれば、担当者の意識の向上にもつながります。また、リスク管理を考えるときに「意識なのか⇔知識なのか」、「ルールなのか⇔管理なのか」という視点で考えることも役立つと思います。例えばあるインシデント(事故)が起こったとして、それは意識が低かったから、あるいは知識がなくて起こったのか、ルールがなかったからか、ルールを作ったが周知徹底という管理ができていなかったからなのか。そういうマトリックスを考えることで、今後どの役職に教育するのがよいのかがハッキリとわかります。セキュリティは費用対効果が難しい分野ですが、リスクをいかに想定しそれが経営者に伝わっているかが大事になってくるのではないでしょうか。」
1 BCP(Business Continuity Plan:事業継続計画)とは、自然災害や大火災等の緊急事態に備える企業の危機管理手法のことです。
2 ISAC(アイザック、Information Sharing and Analysis Center)とは、同じ業界の民間事業者同士でサイバーセキュリティに関する情報を共有し、サイバー攻撃への防御力を高めることを目指して活動する組織のことです。
3 JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center)とは、日本国内に関するインシデント等の報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを技術的な立場から行う独立した組織のことです。
関係会社や取引先のセキュリティ対策にも目くばり
vol.26 ダイキン工業株式会社 執行役員 山本 雅史 氏
1924年に大阪で創業して以来、空調事業を中心に世界150カ国以上で事業を展開する中、グループ行動指針に「情報の適切な管理と活用」を掲げ、関係会社や取引先も含めたサプライチェーン全体の情報セキュリティ対策を重要な経営課題のひとつとして位置付ける、ダイキン工業株式会社 山本 雅史 執行役員に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。
情報セキュリティは重大な経営リスク
−経営課題におけるサイバーセキュリティの考え方を教えて下さい。
「当社では、情報セキュリティを重大な経営リスクと捉えています。AI/IoT化が進む中で安全な製品・サービスをお届けすることはもちろん、取引先やお客様からお預かりする情報を適切に管理するということを、当社の行動指針のひとつに明確に位置付けて取り組んでいます。一昨年施行されたヨーロッパの一般データ保護規則(GDPR )では、情報セキュリティ対策が不十分だと、グループ売上の4%もの課徴金を科される可能性もあります。情報漏洩でお客様等に与えてしまう損害、当社が受けるペナルティ、更に会社の信用を失ってしまうことを考えると、経営上非常に大きなリスクであり、絶対に事故を起こしてはならないと考えています。」
取引先を選ぶ際にもセキュリティ基準
−サプライチェーン全体のセキュリティをいかに確保すべきでしょうか。
「当社は、世界各地に100カ所以上の生産拠点を構え、国内外を含めたグループ会社は約300社あります。したがって、グループ会社を含めたセキュリティをいかに確保するかということは大変重要な課題で、1社でも攻撃を受けると他のグループ会社へも影響が出るので気を付けなければなりません。特に海外グループ会社においては、情報セキュリティの一斉点検を行った上で、各グループ会社内に情報セキュリティリーダーの設置や、情報の取扱いに関する社内ルールの策定などに取り組み、セキュリティ管理体制を強化しています。また、当社のみならず取引先等の関係先まで含めてEnd to Endでセキュリティを守っていくことが必要だと考えています。例えば当社では取引先に守ってもらいたいセキュリティ基準を定め、守ってもらう取組をスタートしています。」
自社は関係ないとはもう言えない
−セキュリティ対策は自社にはあまり関係ないと考える中小企業もいます。
「多くの会社でコンピューターを利用して個人情報や技術情報等の重要なデータを管理していると思います。更にIT化の進展により工場の製造設備をコンピューターで管理している会社もあると思います。つまり、セキュリティ対策は個人情報を取り扱っているかどうかの視点だけではなく、生産工程へのサイバー攻撃により、自社が生産する製品に何らかの不具合が発生したり、自社の操業が停止に追い込まれるという事態も起こり得ます。その意味では、セキュリティ対策が不十分なことで、自社はもちろん、お客様にもご迷惑がかかる可能性があり、もはやセキュリティ対策が自社にはあまり関係ない問題だとは言えなくなっていますので、大企業・中小企業関係なくしっかりと取り組んでいかなければなりません。」
セキュリティ対策を怠れば、被害者にも加害者にもなる可能性
vol.27 西日本電信電話株式会社 常務取締役 岸本 照之 氏
様々な社会課題をICTの力で解決することを目指す中、サイバーセキュリティ対策を含めた多様なセキュリティサービスを法人及び個人向けに展開し、また自社グループ全体のサイバーセキュリティに関する防衛力・ガバナンスの更なる強化にも力を入れる、西日本電信電話株式会社 岸本 照之 常務取締役に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。
関係会社とセキュリティ対策のレベル合わせの必要も
−経営者として認識しておくべきセキュリティ対策のポイントはありますか。
「セキュリティ対策を怠れば、自社が被害者になる可能性だけでなく、踏み台にされて加害者になる可能性もあるということです。サイバーセキュリティはBCP
1対策の重要なひとつとして、経営トップのコミットメントのもと対処すべき経営課題だと認識していただく必要があります。」
−サプライチェーン全体のセキュリティ確保にいかに取り組めばよいでしょうか。
「グループ会社やお取引先は、大企業から中堅・中小企業まで幅広く、リスクの考え方も異なりますし、セキュリティ対策も高額なものからリーズナブルなものまで様々ある中、全てに同じ対策を行うというのは困難です。しかし、サプライヤー・パートナー企業が踏み台にされて発注元企業が狙われるというケースも多いので、まずはお互いの会社で意識を持って、ある程度の対策のレベル合わせをするということは事前対策として重要になると思います。」
日々進化するサイバー攻撃に対する継続的な投資
−セキュリティ対策への投資についてはどのように考えるべきでしょうか。
「サイバーセキュリティの分野では、攻撃者が優位とされており、日々進化する攻撃に対するセキュリティ対策は、いたちごっこという状況です。したがって、対策のためにハコモノを一度買ったからこの先3年間は何もしなくて大丈夫というものではありません。導入した後も、ソフトウェアでアップデートを行うことなどが必要ですし、継続的な投資と、日々の運用に関するランニング費用がかかるという認識が不可欠です。」
結果だけでなく、プロセスを評価する視点で
−セキュリティ対策の前線に立つ情報システム部門をいかに評価すべきでしょうか。
「結果だけでなく、プロセスを見える化して評価することが必要です。例えば、外部からの攻撃がどれぐらいあったか、どのような対策を行ったことで未然に事故を防ぐことができたかというプロセスを定点観測し、社内の幹部会議の場で定期的に報告したり、社員の皆さんにも分かりやすく発信するといった取組は当社でも実施しています。こうしたことは当たり前のようですけれど、頑張ってくれているセキュリティ部門を正当に評価する仕組みとして重要だと考えています。経営トップの方々には、できればセキュリティ担当者の頑張りについて社内外の色々な場で発信したり、担当者に一言声をかけていくといったことをしてくださるとありがたいですね。」
1 BCP(Business Continuity Plan:事業継続計画)とは、自然災害や大火災等の緊急事態に備える企業の危機管理手法のことです。
相互の信頼関係に基づく、集団防衛力の向上が不可欠
vol.28 日本電気株式会社 関西支社長 谷口 充 氏
ITで高度化された社会においてこれまで以上にサービスが複雑に連携する中、後付けでのセキュリティ確保はほぼ不可能であるという問題意識のもと、企画・設計段階からセキュリティを考慮するセキュリティ・バイ・デザインの考え方で情報セキュリティ対策に取り組む、日本電気株式会社 谷口 充 関西支社長に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。
サイバー攻撃は異常気象に並ぶ大きな世界的リスク
−経営者として認識しておくべきセキュリティ対策のポイントはありますか。
「世界経済フォーラムから発行された報告書「The Global Risks Report 2019」では、サイバー攻撃は異常気象に並ぶ世界経済への大きなリスクとして位置付けられています。企業の被害事例としては、半導体受託生産の最大手である台湾積体電路製造(TSMC)において工場内ネットワーク機器がマルウェアに感染し、3日間の生産停止を余儀なくされ、その損害額は190億円と言われています。このように、サイバーセキュリティは経営に直結するリスクであることを認識した上で、情報システム部門だけに任せることなく、経営リスク対策という観点から経営層にはリーダーシップを発揮していただく必要があります。」
相互に協力し合える状況を地域でいかに作るか
−サプライチェーン全体のセキュリティ確保にいかに取り組めばよいでしょうか。
「攻撃者が相手の弱点を重点的に突いてくるというのは世の鉄則です。昨今では自社のみで完結するような事業は少なく、技術や部材等を提供してくださる様々な企業とつながって事業を行っていますので、サプライチェーン全体のセキュリティを高めるためには、お互いに信頼できる関係性を構築し、情報を共有し知恵を出し合い、力を合わせて集団防衛力を高めなければなりません。」
−中小企業がセキュリティ対策を行う際のポイントは何でしょうか。
「当社は大阪商工会議所が採択された「サイバーセキュリティお助け隊事業
1」の実証事業に参加し、中小企業のサイバーセキュリティ対策支援を進めています。こうした事業を通じて実感するのは、中小企業にとって、導入と運用の手軽さがいかに大事かということです。経費も人材リソースも不足する中、人材が社内にいなくても相互に協力し合える状況を地域で作っていくことで、地域全体のセキュリティを底上げすることができるのではないかと考えています。」
情報投資の約5%と言われるセキュリティ対策費
−サイバーセキュリティ対策は費用対効果が見えにくいとよく言われます。
「それぞれの企業の事業の構造に大きく影響を受けますので一概には言えませんが、国内の統計的にみると、企業の情報投資のおよそ5%
2がセキュリティ対策に講じられていると言われています。これは各企業が自社の実情に見合ったセキュリティ対策の投資を行っているかどうかをみる一つの基準になるかもしれません。ただ色々な見方がありますので、一つの指標だけではなく、外部の知見も活用しながら、自社の実態に見合った規模で投資判断していただくということになると思います。」
1 サイバーセキュリティお助け隊事業とは、経済産業省とIPA(独立行政法人情報処理推進機構)が実施する、中小企業のサイバーセキュリティの意識向上と中小企業の実態に合ったサイバーセキュリティ対策を定着させていくことを目的とした実証事業です。大阪商工会議所は本事業を本格サービス化し、2020年度より中小企業向けに提供する予定です。
2 株式会社MM総研「日米企業の情報セキュリティ投資動向−セキュリティ対策で後れをとる日本企業−」(2013年)を参照。
