対談1 経営層が持つべきサイバーセキュリティへの意識
経済産業省は、2015年12月28日、独立行政法人情報処理推進機構とともに、「サイバーセキュリティ経営ガイドライン」を策定・発表しました。今後はこれに基づき、経営者のリーダーシップの下、サイバーセキュリティ対策の推進が求められます。このガイドラインは、どのような目的があるのでしょうか、経営層はどう対応していくべきなのでしょうか――。セキュリティの専門家である2人が語ります。
ガイドラインの意義と狙い
――サイバーセキュリティ経営ガイドラインは、どのような経緯で作られたのですか。
名和 私は2006年頃から、サイバーセキュリティ基本法の設立や、政府機関の戦略などに関わり、今回のサイバーセキュリティ経営ガイドラインの策定にも少し関与しました。今までの政府のセキュリティ対策の中で、ずっと先送りされていたのが、経営層に対する取り組みでした。特にサイバーセキュリティの事案は、コストセンターであるIT部門や情報部門だけの問題ではなくて、経営層を中心とした事業部門の問題になっています。そこで、経営層と事業部門に対して啓発しようということで、昨年6月にサイバーセキュリティ戦略が作成され、9月に閣議決定されました。
その中で、セキュリティマインドを持った企業経営を推進し、それを実現させるために「サイバーセキュリティを経営上の重要課題として取り組んでいることが市場等から正当に評価される仕組みの構築」を掲げました。その一つの手段として「サイバーセキュリティに係る経営のガイドラインを企業に対して発信していく」と書かれています。これが今回、ガイドラインが策定された意義です。したがってガイドラインは、経営層に対して、「これを適用することによって市場に評価される仕組みを作りましょう」と促しています。
今後は平成28年度ISMS(情報セキュリティマネジメントシステム)の管理基準に、このガイドラインに沿った審査項目を入れ、第三者に審査してもらうことによって、定着を図ろうとしています。これと併せて、企業全体に対してサイバーセキュリティの第三者認証を与えるという認証制度を制定しているところです。この両軸でやっていこうというのが、今の動きです。
星澤 サイバーセキュリティ経営ガイドラインは、セキュリティに詳しい人にとっては、わりと一般的なことが書かれていると感じました。しかし、経営者に向けた啓蒙だとか、CISO(最高情報セキュリティ責任者)などに向けて、徹底すべき重要事項を示したという意味では、これまで徹底されていなかったことが、きちんとまとめられていると思います。
名和 経営層に向けた話となると、初めて目にするものもあるので、結構な前進ではないかと思います。
星澤 まさにそうですね。私は以前、ベンダーにいたので、余計に共感するのですが、企業にセキュリティ対策を導入してもらうときに、経営層をどうやって説得するかという問題が必ず出てきます。最近は「セキュリティは経営課題の一つだから、やらなければならない」とよく言われますが、では経営者がセキュリティを重要視しているかというと、そうではないと感じます。
名和 実際にサイバー攻撃を受けている経営層は、対応しなければならないと考えて、実装段階にありますが、大多数は、世の中がセキュリティの流れになり、担当責任者や部下に指示をしなければならないが、どうやればよいか分からないから勉強したいという人たちです。こういう企業の多くは、実装より前の啓発や企画設計の段階だと思います。全体から見ると、後者が大多数なので、セキュリティはまだ進んでいないと思います。
星澤 おそらく、一般的な経営のリスク自体を考えることも難しいのに、それに加えてセキュリティを考えるとなると、余計に難しいのではないかと思います。セキュリティがそのままリスクになるということは、2014~2015年に情報漏洩などの大きな事件が続いて起こったことによって、だいぶ理解されるようになってきました。実際に、株価が下がったり、数億円に上る巨額を投資しなければならなくなったり、倒産寸前になった企業を見て、セキュリティ対策をしないことは、ものすごいリスクであると理解した経営層も多いと思います。とは言っても、実際に自分の企業で事件が起こっていない企業は、やはり他人事のような意識を持っている経営層がほとんどです。その解決策として、今回のガイドラインが受け入れられることは、非常に重要だと思います。
ガイドラインが示す画期的な視点
――今回のガイドラインの内容が、今までのセキュリティの認識と違っている点は、どのようなところですか。
名和 ガイドラインの中に「サイバーセキュリティ経営の3原則」があります。
1番目は、経営者がサイバーセキュリティリスクを認識し、リーダーシップをとって対策を進める必要性が書かれています。これは、以前から言われていました。
2番目は、今までとは少し違います。社内で情報資産を守る必要性は、今までも言われていましたが、ネットワーク化や、ジョイントしているサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策を提唱しているところが、今までと全く違っています。
3つ目に、平時からサイバーセキュリティリスクやその対策・対応に係る情報の開示など、関係者との適切なコミュニケーションが必要だと書かれています。
この背景にあるのは、今回のガイドラインの基になったサイバーセキュリティ戦略で、攻撃が高度化していると捉えたことです。IT部門の方は「高度化」について、技術が向上したとか複雑化したと捉えがちですが、経営者の方は、より分かりづらくなったとか、検知しづらくなったとか、どこに発生しているか分からないなど、攻撃が「見えない化」している点が「高度化」だと感じています。そこで関係者とのコミュニケーションが重要になるわけです。今は自分1人では見つけられない攻撃が増えているので、ほかの人や組織とコミュニケーションをとって情報を共有し、早く発見するトリガーを持たなければなりません。
星澤 この取り組みが、まさに経営者の理解を深めるものになるのではないかと感じています。ただ、これはあくまでガイドラインなので、守らなかったからといって罰則があるわけではありません。その意味では今後、ISMSの中にこの内容をどういうかたちで取り込み、経営者がどう実践していくかが問題です。
例えば、サイバー攻撃を受けた時に、うまくCISOが動かなかった組織の事例が、官民ともに発表されています。我々の調査でも、CISOはいるものの、名ばかりのCISOになっているという企業が多いので、そこが改善されることも課題の一つだと思います。
名和 そこで重要なのは、なぜ名ばかりのCISOになってしまうのか、です。これまでCISOはあまり重要視されていなかったので、キャリアパスがないのだと思います。CISOになる人は、情報システム部門やコストセンターの人ではなく、ビジネスを分かっている人がならないといけないのに、その昇進ルートがないために適任者がいなくて、結局名ばかりになってしまうのだと思います。米国企業は、私が見る限り、ビジネスとITの両方を分かっているCISOがいて、ビジネス戦略に、ものすごい力を持っています。しかし、日本企業は効率化のためにCISOを置く要素が強いと思います。
星澤 そうですね。我々の調査によると、CISOを設置している企業は、グローバルも、日本も、同じ54パーセントです。ただ、日本企業は、兼務だったり、CEOや取締役に対してレポートしていないなどの現実があるようです。アンケートの結果を見た限りでは、経営層の一員としてCISOが存在しているわけではないので、名ばかりになってしまうことが多いようです。
名和 CISOがきちんと機能するには、キャリアを積んだ人が昇進してく仕組みを作らなければならないので、少し時間がかかると思います。
技術の向上と経営層の意識改革が不可欠
――CISO以外にも課題はありますか。
名和 それについて星澤さんにお聞きしたいのですが、サイバーセキュリティ戦略で、CSIRT(Computer Security Incident Response Team)の重要性が色濃く出ています。CSIRTは、インシデントレスポンスを受けたときに被害拡大を防ぐために動くチームです。公的機関が情報漏洩をしたとき、厚生労働省のCSIRTはきれいにまとまっていました。しかし、実働要員がいなくて仕事が回っていなかったことや、報告さえされていなかった問題がありました。これについて、どのような改善策を支援すればよいと考えますか。
名和 それについて星澤さんにお聞きしたいのですが、サイバーセキュリティ戦略で、CSIRT(Computer Security Incident Response Team)の重要性が色濃く出ています。CSIRTは、インシデントレスポンスを受けたときに被害拡大を防ぐために動くチームです。公的機関が情報漏洩をしたとき、厚生労働省のCSIRTはきれいにまとまっていました。しかし、実働要員がいなくて仕事が回っていなかったことや、報告さえされていなかった問題がありました。これについて、どのような改善策を支援すればよいと考えますか。
星澤 これまで私は、セキュリティのコンサルタントとしてCSIRT構築の支援を行ってきました。CSIRTを構築しようという動きは進んでいて、支援依頼も多いです。それは良いのですが、名和さんがおっしゃったように、形だけになっているところもあります。会社の規模や考え方にもよりますが、全ての部門に人員を配置できるわけではありません。しかしウイルス解析ができる人を常時、会社に置いておく必要があるかというと、そこまでは必要ない。そこで、自分たちのビジネスに関わる部分は、自分たちで人材を抱えようと思うわけです。だから、ここは自分たちでやろうとか、ここはアウトソースしようといった区分けが、きちんとできていないといけません。要するに、自分たちは何ができて、何ができないのか、どこの部分を専門の企業に任せるのかが整理できていないために、CSIRTが機能していない組織が多いのではないかと思います。
名和 その点、どのような対策ができるかについて、私が感じているのが、技術者の能力を高めることです。CSIRTにしても、経験や実績、訓練のレベルや積み重ねによって、できること、できないことが出てきます。それを補完するには技術を上げるしかないので、訓練が必要なのではないかと思っています。
星澤 まさにそうだと思います。先日、あるイベントで、ロンドンオリンピックにおけるサイバーセキュリティの経験を2020年の東京オリンピックに、どう生かすかという話題が出ました。我々は、あと5年の間にセキュリティ対策をするわけです。そこで、完璧なものを作ろうとするあまり、ぎりぎりになってシステムや対応プロセスを完成させるのではなく、とりあえず、まあまあのレベルのものを出して、そこから少しずつグレードアップさせたり、演習する中で改善点を見つけて、解決していけばよいのではないか、という話が出ました。そうすれば、改善点を見つけて解決していく過程で、技術者はレベルアップすることもできます。結局、技術者に頼る部分が大きいので、そこを鍛えていくことは、ものすごく重要ですね。
名和 星澤さんは、その訓練を提供する考えがあるわけですね。
星澤 ぜひやりたいですね。
――セキュリティについて、経営層が持っておくべき視点はどのようなことでしょうか。
名和 今、経営層がこれまで以上にしなければならないことは、どこまでやればよいのかを見極め、相手を見極め、攻撃者や攻撃側を見極め、状況を見極めるというシチュエーションアウェアネスです。それから自前の技術者を育成し、自分たちの能力を上げていくこと。この両軸に加えて、経営層が高い意識を持って、事例から学んでいくこと。以上の3点が重要だと思います。
星澤 ここ2、3年で、経営者にとって非常にインパクトのある情報漏洩事件が起こったので、ここで経営層が意識改革することが大事だと思います。やはり、セキュリティが経営リスクの一つになっていることを経営者が肌感覚で認識することが重要です。
名和 私は、リスクというのは、発生したときが初めてリスクだと考えています。危機が起こったときに、日本式のハンコリレーのような決済をしている間に、防げるものも、拡大を許してしまうことがあるので、発生したときに経営層が、なるべく早く判断して早く対応できる状態を作っておくことが、リスク対策には重要だと思います。いずれにしても、まずはリスクを「知る」ことが大事です。リスクを知れば、意識や行動が大きく変わることは間違いありません。