どうすれば“サイバーセキュリティ経営”を実現できるのか
「企業の情報セキュリティはCEOレベルで対処すべき問題。『セキュリティの問題はサーバールームから役員室に変わった』とよく言われるようになった」(日本マイクロソフト 高橋氏)――。
日本マイクロソフト(日本MS)が12月16日に開催したセミナー「サイバーセキュリティと企業経営リスク」では、マイクロソフト、ラック、ディアイティのセキュリティ専門家3氏による「経営とセキュリティを橋渡しするために」と題したトークセッションが開催された。
(左から)日本マイクロソフト チーフセキュリティアドバイザーの高橋正和氏、ラック サイバーセキュリティ本部 理事の長谷川長一氏、ディアイティ クラウドセキュリティ研究所 所長の河野省二氏
近年、企業に対するサイバー攻撃が激化し、大きなビジネス的損害も発生するようになった中で、冒頭の言葉どおり「セキュリティは経営課題」だと考える企業が少しずつ増えている。昨年12月末には、経済産業省と情報処理推進機構(IPA)による「サイバーセキュリティ経営ガイドライン」も公開された。
経産省とIPAが公表した「サイバーセキュリティ経営ガイドライン」。経営者が認識すべき「3原則」と、IT/セキュリティ担当幹部に指示すべき「重要10項目」が定義されている
しかし、経営層とIT/セキュリティ担当者との意識のずれ、あるいはセキュリティ投資におけるROI(費用対効果)の不透明さなどが障壁となって、具体的な検討と対策は思うようには進んでいないのが実情だ。
どうすれば“サイバーセキュリティ経営”を実現できるのか、そのポイントはどこにあるのか。3氏は企業経営という観点から、国内におけるサイバー攻撃対策の実情や課題、経営層と現場の意識をうまく“つなぐ”ために注力すべきことなどをテーマに議論を交わした。
セキュリティ事故がビジネスにもたらす影響は――企業とサイバー攻撃の現状
現場のセキュリティ担当者とは異なり、企業経営層がセキュリティ脅威について気になるのは「自社のビジネスにどのようなインパクト(影響)があるか」という一点だ。日本MSの高橋氏は、セッションの冒頭で次のように語った。
「不正アクセス事件が起きると『ウイルス感染』『個人情報の流出』といった事象にばかりフォーカスが当たりがちだ。しかし、本来は『ビジネスにどんなインパクトを与えたのか』という視点で見なければ、今日のテーマでもある“経営とセキュリティとをつなぐ”のは難しいのではないか」(高橋氏)
日本マイクロソフト チーフセキュリティアドバイザーの高橋正和氏
高橋氏はさまざまな調査データを引用し、サイバー攻撃が企業ビジネスに及ぼすインパクトを説明した。ワールドワイドでのサイバー攻撃被害総額(推定)は年間360兆円にも達しており、情報漏洩事故1件あたりの事後処理コストは平均で4.2億円かかるという。
さらに、企業が新しいテクノロジーの採用を検討する際にも、現在は「予算」の障壁と同等のレベルで「信頼(セキュリティやプライバシー、コンプライアンス上の懸念)」が障壁となっている。企業競争力強化のためには新たなテクノロジーの活用が不可欠だが、セキュリティを考えるとそう簡単には先に進めない、というわけだ。これも、セキュリティという課題がビジネスにもたらす“負のインパクト”だろう。
高橋氏が示した企業とサイバー攻撃をめぐるデータ。国内企業の9割には未知の脅威が侵入済みというデータもある
一方でラックの長谷川氏は、「サイバー攻撃による被害の大きさは、漏洩したデータの件数やシステムの停止時間などだけでは計れない」ことを指摘する。
ラック サイバーセキュリティ本部 理事の長谷川長一氏
実際にインシデント発生後の被害調査も手がける長谷川氏は、自身の実感として、顧客個人情報の大量漏洩よりも、技術情報や研究データといった知的財産の漏洩のほうが、たとえ少量でも「中長期的にはビジネスに大きな金銭的ダメージをもたらすのではないか」と語る。
さらに事故後には、内部での被害調査や顧客からの問い合わせ対応、謝罪といった、システム復旧作業以外の“見えない”事後処理コストもかかる。この点も見落とされがちだ。
加えて、企業ブランドや株価への悪影響も見逃せない。「こうした事故後、株価は一度下がり、徐々に回復していくが、元通りのレベルには戻らないという研究データもある」(長谷川氏)。
インシデント発生後には復旧作業以外にも多くのコストが発生し、ビジネスに影響を与える
本記事はアフィリエイトプログラムによる収益を得ている場合があります
