このページの本文へ

前へ 1 2 3 4 次へ

日本MS主催セミナーでセキュリティ専門家が討論、「橋渡し」のポイント

経営層にセキュリティ対策の重要さが伝わらない理由はどこに?

2016年01月18日 11時00分更新

文● 大塚昭彦/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

どうすれば“サイバーセキュリティ経営”を実現できるのか

 「企業の情報セキュリティはCEOレベルで対処すべき問題。『セキュリティの問題はサーバールームから役員室に変わった』とよく言われるようになった」(日本マイクロソフト 高橋氏)――。

 日本マイクロソフト(日本MS)が12月16日に開催したセミナー「サイバーセキュリティと企業経営リスク」では、マイクロソフト、ラック、ディアイティのセキュリティ専門家3氏による「経営とセキュリティを橋渡しするために」と題したトークセッションが開催された。

(左から)日本マイクロソフト チーフセキュリティアドバイザーの高橋正和氏、ラック サイバーセキュリティ本部 理事の長谷川長一氏、ディアイティ クラウドセキュリティ研究所 所長の河野省二氏

 近年、企業に対するサイバー攻撃が激化し、大きなビジネス的損害も発生するようになった中で、冒頭の言葉どおり「セキュリティは経営課題」だと考える企業が少しずつ増えている。昨年12月末には、経済産業省と情報処理推進機構(IPA)による「サイバーセキュリティ経営ガイドライン」も公開された。

経産省とIPAが公表した「サイバーセキュリティ経営ガイドライン」。経営者が認識すべき「3原則」と、IT/セキュリティ担当幹部に指示すべき「重要10項目」が定義されている

 しかし、経営層とIT/セキュリティ担当者との意識のずれ、あるいはセキュリティ投資におけるROI(費用対効果)の不透明さなどが障壁となって、具体的な検討と対策は思うようには進んでいないのが実情だ。

 どうすれば“サイバーセキュリティ経営”を実現できるのか、そのポイントはどこにあるのか。3氏は企業経営という観点から、国内におけるサイバー攻撃対策の実情や課題、経営層と現場の意識をうまく“つなぐ”ために注力すべきことなどをテーマに議論を交わした。

セキュリティ事故がビジネスにもたらす影響は――企業とサイバー攻撃の現状

 現場のセキュリティ担当者とは異なり、企業経営層がセキュリティ脅威について気になるのは「自社のビジネスにどのようなインパクト(影響)があるか」という一点だ。日本MSの高橋氏は、セッションの冒頭で次のように語った。

 「不正アクセス事件が起きると『ウイルス感染』『個人情報の流出』といった事象にばかりフォーカスが当たりがちだ。しかし、本来は『ビジネスにどんなインパクトを与えたのか』という視点で見なければ、今日のテーマでもある“経営とセキュリティとをつなぐ”のは難しいのではないか」(高橋氏)

日本マイクロソフト チーフセキュリティアドバイザーの高橋正和氏

 高橋氏はさまざまな調査データを引用し、サイバー攻撃が企業ビジネスに及ぼすインパクトを説明した。ワールドワイドでのサイバー攻撃被害総額(推定)は年間360兆円にも達しており、情報漏洩事故1件あたりの事後処理コストは平均で4.2億円かかるという。

 さらに、企業が新しいテクノロジーの採用を検討する際にも、現在は「予算」の障壁と同等のレベルで「信頼(セキュリティやプライバシー、コンプライアンス上の懸念)」が障壁となっている。企業競争力強化のためには新たなテクノロジーの活用が不可欠だが、セキュリティを考えるとそう簡単には先に進めない、というわけだ。これも、セキュリティという課題がビジネスにもたらす“負のインパクト”だろう。

高橋氏が示した企業とサイバー攻撃をめぐるデータ。国内企業の9割には未知の脅威が侵入済みというデータもある

 一方でラックの長谷川氏は、「サイバー攻撃による被害の大きさは、漏洩したデータの件数やシステムの停止時間などだけでは計れない」ことを指摘する。

ラック サイバーセキュリティ本部 理事の長谷川長一氏

 実際にインシデント発生後の被害調査も手がける長谷川氏は、自身の実感として、顧客個人情報の大量漏洩よりも、技術情報や研究データといった知的財産の漏洩のほうが、たとえ少量でも「中長期的にはビジネスに大きな金銭的ダメージをもたらすのではないか」と語る。

 さらに事故後には、内部での被害調査や顧客からの問い合わせ対応、謝罪といった、システム復旧作業以外の“見えない”事後処理コストもかかる。この点も見落とされがちだ。

 加えて、企業ブランドや株価への悪影響も見逃せない。「こうした事故後、株価は一度下がり、徐々に回復していくが、元通りのレベルには戻らないという研究データもある」(長谷川氏)。

インシデント発生後には復旧作業以外にも多くのコストが発生し、ビジネスに影響を与える

前へ 1 2 3 4 次へ

ピックアップ