2020年サイバーセキュリティ月間企画
「地域のキーパーソンに聞く、経営課題としてのセキュリティ」

取引前に必ず確認する情報セキュリティ基準
−サプライチェーン全体のセキュリティ確保にいかに取り組まれていますか。
「サプライチェーンセキュリティについては、グループ会社や取引先を含めたセキュリティをいかに確保するかという狭義の観点と、世界各国の法規制等で定められた基準を製品開発から保守メンテナンスに至るまでのプロセス全体を通していかに満たすかという広義の観点があります。取引関係については、基本的に前者の狭義の話になりますが、当社では取引先の情報セキュリティ体制などを契約前に確認することとしています。そして、もし当社が必要と考える情報セキュリティ基準を満たしていない場合は改善をお願いし、当該水準を満たした上で取引を開始するというルールを実践することで、セキュリティの確保に努めています。」

何も起こっていないという価値を評価する
−経営者層がセキュリティ担当部署を適切に評価するにはどうすればよいでしょうか。
「経営者層は、何もインシデント（事故）が起こっていないという状況を価値として認識し、評価する姿勢が必要です。一方で情報システム部門には、一定期間の間にどれぐらいの攻撃があり、どういう対策を行ったことにより、何も起こっていないという状況を導いたのかということを分かりやすく説明する努力が必要になるでしょう。そうしたコミュニケーションがうまくいくためには、情報セキュリティ部門から経営者層に相談しやすい人間関係はもとより、悪いニュースは何時間以内に報告するといった社内ルールの整備も行うなど、会社の風土全体を見直していくことも大事になると思います。」

身の回りで起きていることをサイバー社会に置き換える
−サイバーセキュリティ対策は難しいという印象があります。
「セキュリティに限らず、サイバー社会全体に言えますが、サイバーだからといって特殊なことはあまりないと思います。もちろん技術的には違っているかもしれませんが、実世界で起きていることと照らし合わせれば大抵のことは説明できます。例えば、システムを壊しに来るセキュリティ犯罪は放火みたいなものですし、情報を盗むのは窃盗みたいなものですから、それに対して、監視カメラをつけようとか、頑丈な塀を作ろうといった防御策が思い浮かびます。つまり、サイバーだから難しい言葉を使わないといけないということはなく、実社会でダメなことはサイバー社会でもダメですし、実際に身の回りで起こっていることに置き換えてみると考えやすくなるかもしれません。」

---

サイバー攻撃で受けた大被害からの教訓
−経営課題におけるサイバーセキュリティの考え方を教えて下さい。
「当社は、2017年5月に「WannaCry(ワナクライ)」と呼ばれるランサムウェア²によるサイバー攻撃を受け、社内ネットワークのサーバなどが次々と感染し、社内システムが停止するなどの大きな被害を受けました。この事案により、IoT時代におけるインシデント（事故）が経営にいかに大きなインパクトを与えるかを目の当たりにし、サイバーセキュリティ対策を経営課題としてとらえ推進していくこととなりました。」

−具体的にどのような被害がありましたか。
「例えば、メールシステムが被害を受けたことで、メールやスケジューラーのデータが消えてしまいました。そうなると誰とアポイントメントを取っているかが分からなくなるなど、客商売をする会社にとってはかなりの痛手です。他にも、社内ネットワークに接続されている機器、工場の製造・生産システムなどが被害を受け、業務全体が滞るという事態になりました。」

事故は起こるという前提での対策
−サプライチェーン全体のセキュリティをいかに確保すべきでしょうか。
「2017年の当社の事案では、ヨーロッパのグループ会社のデジタルマイクロスコープからウイルスが拡散し、全世界的に広がりました。今では、目の前にあるパソコンだけではなく、思ってもいないところがネットワークでつながっていますので、取引先やお客様を含めたサプライチェーン全体のセキュリティを確保するのは非常に難しい問題です。しかしそれでも、サイバー攻撃の被害を受けた教訓から、これまで想定していなかったことも想定し、事故は起こるという前提でサプライチェーンの関係者との連携も念頭に置いた対策を打っていかなければならないと考えています。」

情報システム部門との信頼関係
−セキュリティ対策の前線に立つ情報システム部門をいかに評価すべきでしょうか。
「何も起きないことが正当に評価されるということが大事です。具体的には、2つのミッションを明確にして評価する必要があります。1つめは、事前予防として何を想定し、何を準備しているかということ。2つめは、事後対応としてどれぐらい迅速に、どのような被害を防止したかということです。特に前者の取組は数値化しづらい内容も多い分、経営層と情報システム部門が日頃からコミュニケーションを積み重ねて、双方の信頼関係を築いていくことがますます重要になると思います。」

---

¹OT（Operational Technology：制御・運用技術）とは、工場や発電所といったプラントや社会インフラの制御に用いられる技術のことです。
²ランサムウェアとは、「Ransom（身代金）」と「Software（ソフトウェア）」を組み合わせた造語で、感染したパソコンに特定の制限をかけ、その制限の解除と引き換えに金銭を要求する不正プログラムのことです。

---

長年の取引先とも契約条項の確認が必要
−サプライチェーン全体のセキュリティ確保にいかに取り組むべきでしょうか。
「大企業は比較的セキュリティ対策が進んできたため、やはり狙われるのは中小企業です。セキュリティの弱い中小企業から一度マルウェア²などが入ると、取引上つながっている企業全体に影響を及ぼします。したがって、中小企業であればなおさら今、セキュリティの重要性を認識し対策を行う必要があると言えます。」

−具体的に何から始めればよいでしょうか。
「取引先との契約における情報セキュリティの条項がどうなっているかを確認しておくことは重要です。新規の取引先はもちろん、長年の取引先に対しても、情報セキュリティ対策があまり行われていないようであれば、契約内容または取引自体を見直す必要が出てくるかもしれません。逆に自社が取引先からそうした対応を求められる可能性もありますので、自社の取組状況を確認することがまずは必要だと思います。」

日々の小さなことをしっかり評価する
−経営者層がセキュリティ担当部署を適切に評価するにはどうすればよいでしょうか。
「経営者は何も事故が起こっていないことが当たり前と考えず、取締役会などで定期的にセキュリティに関する報告を受ける機会を持つべきです。その上で、セキュリティ部門が取り組んでいる日々の小さなことをしっかりと評価する観点が重要です。例えば、日常のセキュリティのパッチを何日以内に適用したかとか、インシデント（事故）が何日発生していないとか、そうした日常の取組の件数をカウントするなどして、セキュリティ部門の日々の努力を評価していただきたいです。」

サイバー攻撃による一次被害、二次被害、三次被害のリスク
−サイバーセキュリティ対策は費用対効果が見えにくいとよく言われます。
「企業がサイバー攻撃を受けた場合、財産などへの直接的な一次被害だけでなく、システムが復旧するまで使えないといった二次被害、信用失墜により取引が継続できなくなるといった三次被害も考えられます。こうしたことが起こるとどれだけの損害が生じるかを事前に検討し、それをいかに最小化するかということを投資の判断材料として押さえておくことが必要です。もちろんそうした事態に陥らないためにも、日頃からの注意喚起や模擬的なサイバー攻撃の対策演習などを社内で重ねておくことが、経営者のリスク管理として重要であることは言うまでもありません。」

---

¹DX（Digital Transformation：デジタルトランスフォーメーション）とは、企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立することです。【DX推進ガイドライン】（2018年12月経済産業省）
²マルウェアとは、ウイルスソフトなど、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。

---