特集

企業の情報を守るためには経営者の意識改革が不可欠に経営リスクとしての
サイバーセキュリティ対策

石見 賢蔵

経済産業省 商務情報政策局
サイバーセキュリティ課 課長補佐

今や、すべての企業・組織においてサイバー攻撃は避けられないリスクとなっています。攻撃に立ち向かうためのセキュリティ投資をどこまでやるかは、経営者でなければ判断できないことですが、日本では欧米諸国と比較して、積極的に情報セキュリティにかかわる経営幹部が少ない状況であり、これは、情報システム部門の方々にとって解決しなければならない課題だと感じられているのではないでしょうか。そこで、経営者のリーダーシップの下でサイバーセキュリティ対策が推進されることを期待して策定された「サイバーセキュリティ経営ガイドライン」のポイントや、今後の情報セキュリティ対策への取り組み方について、経済産業省のご担当者にお話を伺いました。

サイバーセキュリティを取り巻く状況は、
経営者の積極的な関与が欠かせない事態に

経営者向けのサイバーセキュリティ対策のガイドラインが
発行された背景についてお聞かせください。

積極的にセキュリティ対策を推進する
経営幹部がいる企業

出典
プライスウォーターハウスクーパース(株)
「グローバル情報セキュリティ調査2014」より
経済産業省作成

サイバーセキュリティ経営ガイドライン

経済産業省と情報処理推進機構(IPA)が、企業や組織の経営者向けにサイバーセキュリティへの取り組みを促す目的で策定。初版は2015年12月、改訂版(Ver.1.1)が2016年12月に発行された。 経営者が認識すべき「3原則」と、経営者が情報セキュリティ担当者に指示すべき「重要10項目」で構成されている。

出典
経済産業省Webサイト

当初は、2015年5月に発覚した日本年金機構の個人情報流出事案を発端に作成に着手することになりました。昔は、情報システム部門の方々の頑張りでサイバー攻撃対策は“何とかなっていた”というところがありましたが、昨今頻発している巧妙化した攻撃に対しては、組織の中の一つの部門だけでは対処できなくなっており、組織全体での取り組みが必須です。組織全体で取り組むためには、経営者がサイバーリスクを理解して経営リスクとして考えることが重要で、ITやセキュリティに対する投資をどの程度行うかなどの経営者による判断が必要となります。それらを考慮した「サイバーセキュリティ経営ガイドライン Ver.1.0」を2015年12月に公表しました。

これまでにもIPA(独立行政法人情報処理推進機構)などから、さまざまなセキュリティ関連のガイドラインが発行されていますが、どちらかといえば技術者向けの内容が中心で、経営者を対象としたガイドラインは出回っていませんでした。「サイバーセキュリティ経営ガイドライン」は、サイバー攻撃から企業を守る観点で、経営者が認識する必要のある項目をまとめています。経営者はお忙しいため、情報セキュリティ対策は情報システム部門の方に任せっきりで自らかかわられていないという企業が多いと思います。しかし、日本におけるサイバーセキュリティを取り巻く状況は、経営者が積極的に関与しなければ、どうにもならないところまで来ています。

今後のセキュリティ対策は、
ITの導入と同時に組み込むことが不可欠に

経営者の関与は難しいことだと思いますが、
ご理解いただくにはどうしたらいいとお考えですか?

経営者にとって、利益を上げることが一番重要な使命ですが、ITを導入されているのであれば、セキュリティ対策なしにそれを使うことはあり得ない時代になっていると知っていただかなければなりません。ITを活用した生産性の向上とセキュリティ対策はワンセットです。

「サイバーセキュリティ経営ガイドライン」でも、“セキュリティ対策の実施を「コスト」と捉えるのではなく、将来の事業活動・成長に必要なものと位置づけて「投資」と捉えることが重要である。”と記載しています。しかし、セキュリティは、直接利益につながらない部分なので、経営者にその視点を持っていただくことは難しいと思われます。多くの企業では、セキュリティについては、投資したITがうまく稼働した後で考えるというスタンスです。セキュリティが「コスト」扱いになってしまう要因はここにあると感じています。このようなセキュリティ対策が後回しになってしまう状況を、NISC(内閣サイバーセキュリティセンター)でも問題視しており、企画・設計の段階から情報セキュリティの確保を考慮する「セキュリティ・バイ・デザイン」を提唱しています。これは、ITの導入と同時にセキュリティを組み込んで、セキュリティも投資の一環だという考え方で、今後、ITの導入には不可欠になっていくと思います。

セキュリティ・バイ・デザインの定義(NISC)

「情報セキュリティを企画・設計段階から確保するための方策」

出典
IPA 「セキュリティ・バイ・デザイン入門」

とはいえ、経営者がセキュリティに関する技術的な中身まで理解するのは現実的には難しいため、「サイバーセキュリティ経営ガイドライン」では、企業内で情報セキュリティを統括する担当役員(最高責任者)であるCISO(Chief Information Security Officer)を任命して対策していきましょうと提唱しています。人的リソースが限られている中小企業では、CISOを設置することは難しく、現実的ではないというお話を伺うこともありますが、サイバーセキュリティリスクが企業に与えている脅威の実例などを見ていただければ、人員不足やコスト面を理由に対策を怠ったことで企業が受けるダメージの大きさと、実際に対策を仕切るCISOの必要性を知っていただけるかと思います。2016年に「サイバーセキュリティ経営ガイドライン」の解説書を公開した際に、過去に発生したセキュリティ事故の中から100件を抜粋した「被害事例集」も公開しました。経営者にサイバーセキュリティ対策の重要性を理解していただくには、まず「被害事例集」を見ていただいた後、ガイドラインをご覧いただくことが効果的かもしれません。

中小企業の情報セキュリティ対策ガイドライン

主に中小企業を対象に、組織的に情報セキュリティ対策を立てる上で考慮すべき項目を記載している

出典
IPA Webサイトより

お忙しい経営者にとって、分厚いと見る気がしないだろうという判断から「サイバーセキュリティ経営ガイドライン」は簡潔にまとめましたが、詳細な説明を入れなかったことでCISOなどの単語がわかりづらいというご指摘がありました。IPAが発行している「中小企業の情報セキュリティ対策ガイドライン」は、ITに詳しくない経営者の方にもわかりやすいよう、できる限り専門的な用語を使わず解説しています。サイバー攻撃で問題が発生した場合、金銭面だけでなく、顧客からの信用も失い従業員にも影響を及ぼすこと、法律面での影響範囲を丁寧に説明していますので、中小企業の皆さまには、ぜひこちらもご活用いただきたいと思います。

そのほかに、中小企業の経営者の方に向けて提供されているツールはありますか?

サイバーセキュリティ対策は、企業規模問わず実施しなければなりません。しかし、中小企業の方にとっては大企業のように予算をかけた大がかりな対策をいきなり行うことは難しいと思いますので、まずはIPAが公表している「情報セキュリティ5か条」に書かれている項目について、対応済みかを確認いただき、できていない項目については早急にご対応いただきたいと考えます。

「情報セキュリティ5か条」の項目すべての対応が完了したら、同じくIPAが発行している「5分でできる!情報セキュリティ自社診断」を活用し、組織として取り組むべき情報セキュリティ対策がどこまでできているか、診断を実施していただければと思います。診断内容を3段階に分けていますので、まずは基本的対策について確実に対応いただき、徐々にステップアップしてすべての項目をクリアできるよう進めてください。

これらの対策を実施している企業であることを対外的に打ち出していただけるよう、IPAでは「SECURITY ACTION」という取り組みを行っています。申請によりロゴマークを使用することができますので、ぜひご活用いただきたいと思います。

SECURITY ACTIONロゴマーク

★ 一つ星 中小企業の情報セキュリティ対策ガイドライン付録の「情報セキュリティ5か条」に取組むことを宣言した中小企業等であることを示すロゴマークです。
★★ 二つ星 中小企業の情報セキュリティ対策ガイドライン付録の「5分でできる!情報セキュリティ自社診断」で自社の状況を把握したうえで、情報セキュリティポリシー(基本方針)を定め、外部に公開したことを宣言した中小企業等であることを示すロゴマークです。
出典
IPA Webサイトより

ガイドラインに記載の対策を怠ると、
漏洩事件発生時、裁判で不利に働く可能性も

ガイドラインではCISOの重要性を強調されていますが、
どうような立場の人がふさわしいのでしょうか?

一概には言えませんが、最終的な決定権を持てる人にアサインしていただく必要があります。セキュリティ事故の発生時には、いかに早く問題を収束させるかが重要となり、場合によってはシステムの停止が必要な場合もあります。そのとき、停止の判断と決定を素早くできる立場の方が適任かと思います。CISOと聞くと難しく感じられるかもしれませんが、「情報セキュリティの責任者」と言い換えていただけば、ハードルが下がるのではないでしょうか。CSIRTについても同様で、「問題が起こったときの対応部門」とすれば、ITに詳しい人が少ない企業でも受け入れやすくなるのではないかと思います。

CISOに求められるスキル・経験

CISOに期待されている役割、スキルは、セキュリティ偏重。
セキュリティ部門と経営層をつなぐ橋渡しとしての役割は、まだ企業では認知されていない。

出典
IPA 「企業のCISOやCSIRTに関する実態調査2017」報告書

セキュリティ人材の確保が難しい中小企業でのインシデント対応は
どうしたらいいとお考えですか?

経済産業省が2016年に実施した調査では、情報セキュリティ人材は13万人以上不足しているという結果でした。大企業では問題発生後の対応の重要性を認識され、CSIRTの設置が進んでいますが、中小企業では必要性を理解されても、人材不足などの要因から導入が進んでいません。大企業は、自社で人材を育てることも可能ですが、少子高齢化により労働力人口が減少している状況で、中小企業が専任の担当者を迎えたり自社で育成することは難しいと考えられます。そのため、問題が起こったときの対応を自社内で完結させる必要はないと考えています。システムの運用保守を任せているディーラーや、セキュリティサービスを提供している業者に委託するなど、外部のリソースの利用もご検討ください。問題が発生してから慌てるのではなく、どこに相談すればいいのかを今のうちに決めておけば、いざという時に困りません。現在「サイバーセキュリティ経営ガイドライン」の改訂を行っていますが、その中でも外部のリソースの活用推進について打ち出しています。

情報セキュリティ人材の不足数推計と将来推計結果

今後ますます拡大することが予想される情報セキュリティニーズに適切に対応するためには、
不足人材の充足が喫緊の課題であるといえる

出典
経済産業省 「IT人材の最新動向と将来推計に関する調査結果」

今後、外部のセキュリティサービスを利用する局面は増えていくと考えられますが、さまざまなサービスが提供されているため、どこの何を選んだらいいのかわからないという企業も多いかと思います。そこで、一定の品質を備えたサービスを認定する制度の立ち上げを検討しています。信頼できるサービスをリスト化することで、サービス選定の際の参考にしていただきたいと考えています。

最後に、ガイドラインに記載の対策を怠った場合の影響について
お聞かせください。

日本は今、サイバー攻撃の脅威にさらされており、非常に危険な状況です。だからこそ、国の機関である経済産業省が「サイバーセキュリティ経営ガイドライン」という指針を公表しなければならない事態となっています。国がこういった指針を出すことには大きな意味があると言われますが、その一例として裁判で判決を下す基準に用いられるということがあります。

数年前に、SQLインジェクション攻撃によってクレジットカード情報などの個人情報を流出させてしまった企業が、漏洩の責任はシステム開発を受託した会社にあるとして損害賠償請求の裁判を起こした事案がありました。この裁判ではシステム開発会社が敗訴していますが、契約時点でSQLインジェクション攻撃による個人データの流出を伝える文書が経済産業省から出ていたこと、その対策を知らせる文書がIPAから出ていたことが判断のポイントとなりました。

このように過去の判例からも、問題が起こった際に国が公表しているガイドラインに書かれている対策を実施していないということが、裁判で不利に働く可能性があり、問題が起こってからでは遅いとおわかりいただけると思います。また、サイバー攻撃による情報の流出は、自社だけでなく顧客や取引先などに多大な迷惑をかけ、信用失墜につながるということは、近年のサイバー攻撃による情報漏洩の事案を見ても明らかです。

サイバー攻撃によるダメージは経営に直結した経営課題であるということを、経営者の方に強くお伝えしていかなければと感じています。今後、IPAや商工会議所などの商工三団体とも連携し、メッセージが届いていない層への情報発信をより一層強化していく必要があると考えています。

(2017年10月取材 / 「SKYSEA Client View NEWS vol.57」 2017年11月掲載)
情報誌『SKYSEA Client View NEWS』のご紹介
ページのトップへ
ささいなご質問にも専門スタッフがお答えします!導入相談Cafe 詳しくはこちら