どうすれば“サイバーセキュリティ経営”を実現できるのか
「企業の情報セキュリティはCEOレベルで対処すべき問題。『セキュリティの問題はサーバールームから役員室に変わった』とよく言われるようになった」(日本マイクロソフト 高橋氏)――。
日本マイクロソフト(日本MS)が12月16日に開催したセミナー「サイバーセキュリティと企業経営リスク」では、マイクロソフト、ラック、ディアイティのセキュリティ専門家3氏による「経営とセキュリティを橋渡しするために」と題したトークセッションが開催された。
(左から)日本マイクロソフト チーフセキュリティアドバイザーの高橋正和氏、ラック サイバーセキュリティ本部 理事の長谷川長一氏、ディアイティ クラウドセキュリティ研究所 所長の河野省二氏
近年、企業に対するサイバー攻撃が激化し、大きなビジネス的損害も発生するようになった中で、冒頭の言葉どおり「セキュリティは経営課題」だと考える企業が少しずつ増えている。昨年12月末には、経済産業省と情報処理推進機構(IPA)による「サイバーセキュリティ経営ガイドライン」も公開された。
経産省とIPAが公表した「サイバーセキュリティ経営ガイドライン」。経営者が認識すべき「3原則」と、IT/セキュリティ担当幹部に指示すべき「重要10項目」が定義されている
しかし、経営層とIT/セキュリティ担当者との意識のずれ、あるいはセキュリティ投資におけるROI(費用対効果)の不透明さなどが障壁となって、具体的な検討と対策は思うようには進んでいないのが実情だ。
どうすれば“サイバーセキュリティ経営”を実現できるのか、そのポイントはどこにあるのか。3氏は企業経営という観点から、国内におけるサイバー攻撃対策の実情や課題、経営層と現場の意識をうまく“つなぐ”ために注力すべきことなどをテーマに議論を交わした。
セキュリティ事故がビジネスにもたらす影響は――企業とサイバー攻撃の現状
現場のセキュリティ担当者とは異なり、企業経営層がセキュリティ脅威について気になるのは「自社のビジネスにどのようなインパクト(影響)があるか」という一点だ。日本MSの高橋氏は、セッションの冒頭で次のように語った。
「不正アクセス事件が起きると『ウイルス感染』『個人情報の流出』といった事象にばかりフォーカスが当たりがちだ。しかし、本来は『ビジネスにどんなインパクトを与えたのか』という視点で見なければ、今日のテーマでもある“経営とセキュリティとをつなぐ”のは難しいのではないか」(高橋氏)
日本マイクロソフト チーフセキュリティアドバイザーの高橋正和氏
高橋氏はさまざまな調査データを引用し、サイバー攻撃が企業ビジネスに及ぼすインパクトを説明した。ワールドワイドでのサイバー攻撃被害総額(推定)は年間360兆円にも達しており、情報漏洩事故1件あたりの事後処理コストは平均で4.2億円かかるという。
さらに、企業が新しいテクノロジーの採用を検討する際にも、現在は「予算」の障壁と同等のレベルで「信頼(セキュリティやプライバシー、コンプライアンス上の懸念)」が障壁となっている。企業競争力強化のためには新たなテクノロジーの活用が不可欠だが、セキュリティを考えるとそう簡単には先に進めない、というわけだ。これも、セキュリティという課題がビジネスにもたらす“負のインパクト”だろう。
高橋氏が示した企業とサイバー攻撃をめぐるデータ。国内企業の9割には未知の脅威が侵入済みというデータもある
一方でラックの長谷川氏は、「サイバー攻撃による被害の大きさは、漏洩したデータの件数やシステムの停止時間などだけでは計れない」ことを指摘する。
ラック サイバーセキュリティ本部 理事の長谷川長一氏
実際にインシデント発生後の被害調査も手がける長谷川氏は、自身の実感として、顧客個人情報の大量漏洩よりも、技術情報や研究データといった知的財産の漏洩のほうが、たとえ少量でも「中長期的にはビジネスに大きな金銭的ダメージをもたらすのではないか」と語る。
さらに事故後には、内部での被害調査や顧客からの問い合わせ対応、謝罪といった、システム復旧作業以外の“見えない”事後処理コストもかかる。この点も見落とされがちだ。
加えて、企業ブランドや株価への悪影響も見逃せない。「こうした事故後、株価は一度下がり、徐々に回復していくが、元通りのレベルには戻らないという研究データもある」(長谷川氏)。
インシデント発生後には復旧作業以外にも多くのコストが発生し、ビジネスに影響を与える
