知らないとまずい！　サイバーセキュリティ経営の3原則

　ビジネスの現場において、ICTの活用が切っても切り離せなくなっている現代。その恵みを享受しやすくなった一方、サイバー攻撃は増加の一途をたどっています。顧客の個人情報や重要な技術情報の漏えいが、大きな痛手になることはもちろんですが、流出を許した事態そのものが情報管理の甘さととらえられると、培ってきた信頼が一瞬にして瓦解してしまいます。こうした時代の流れを受けて、経済産業省は「サイバーセキュリティ経営ガイドライン」を2015年12月に公表しました。

経営者が旗を振らないと、セキュリティ対策が成功しない？

　日本と海外では、経営陣のセキュリティ意識に大きな開きがあるといわれています。「積極的にセキュリティ対策を推進する経営幹部がいる企業」※1によると、国内企業は27％に対し、グローバル企業では59％。また「サイバー攻撃への対処を議論するレベル」※2によると、「サイバー攻撃の予防は取締役レベルで議論すべきか」という問いに対して、非常にそう思うと答えたのは日本が13％、海外が56％でした。

　セキュリティなんて、実務者がきちんと管理できていれば十分だ。日本では、そう考えている企業が多いようです。しかしながらそれは誤りで、セキュリティ対策は、経営者がリーダーシップをとらなければ向上しません。

　なぜかといえば理由は単純明快。セキュリティ投資の効果が見えにくいからです。セキュリティがうまく機能しているという状態は、何も起こらず平常運転できている状態。「今日も業務が平常運転できているなんて、社長賞ものの功績だよ」となる会社を聞いたことがありますか？　残念ながら成果主義の世の中では、成功が目に見えるわかりやすい形では表れない業務を、率先してやろうと言い出す人は現れづらい。ですから経営者自らが号令を出さないと始まりません。

経営者が認識すべき「3原則」

　経済産業省がまとめた「サイバーセキュリティ経営ガイドライン」には、経営者が認識すべきセキュリティ対策の3原則が書かれています。まず第1は「経営者がみずからリーダーシップをとって対策を推進する必要がある」というポイントで、これは先述のとおりです。

　2番目として、「自社のみならず、系列企業やサプライチェーンのビジネスパートナーを含めたセキュリティ対策」の必要性を説いています。子会社で発生した問題に加えて、生産委託先などの外部に提供した情報が流出してしまうことも会社にとって大きなリスクです。

　そして第3に「平時からのセキュリティ対策に関する情報開示など、関係者との適切なコミュニケーション」と結んでいます。これは顧客や株主の信頼感を高めると同時に、もし被害にあってしまっても不信感の広がりを小さくする効果があるのです。

　現代はSNSの発達によって、情報が瞬く間に拡大・拡散される時代。SNSに悪意ある投稿をしようと思っている人にしてみれば、企業のセキュリティ対策の不備は甘い蜜ともいえます。その意味で3番目は、とても重く苦しい世相を反映した原則といえるでしょう。

経営者がセキュリティ対策の責任者に指示すべき項目のポイント

　経営者ひいては経営陣や役員など、会社の経営にかかわる人たちが、実際にどのような指示を出すべきかについて、ガイドラインを読むといくつかのポイントが見えてきます。ここでは指示を出す順を追う形で解説していきましょう。

　まず初めに、経営者がリーダーシップを発揮し、社内にセキュリティ体制を作るぞと宣言します。その上で責任の所在を明確にしたセキュリティ管理体制の構築を指示しましょう。この時のポイントは一言でいうと「責任の明確化」です。基本的には社長が責任を持って行うプロジェクトであると知らしめつつ、実務にあたる人たちの責任もあいまいにならないように決めます。ただし、それによって実務者が萎縮してしまっては本末転倒。個人の責任は、そのように責任を規定した組織の存在が前提にあることも周知してください。

　次に、社内、グループ会社はもとより、サプライチェーンを含めたセキュリティリスクを分析し、リスクに対してどのように対応すべきかを考えます。そうして必要な予算と人材を割り出すわけですが、大企業で、中長期の経営契約があれば社内にチームを作ることも視野に入ってくるものの、中小零細ではそういってはいられません。「来るかどうかわからないサイバー攻撃の対応に回す資金なんてない」のが本音でしょう。そこで外注という選択肢が見えてくるわけですが、会社の重要情報を鑑みながら、どの程度まで外部に任せるかをしっかり考えてプランを練ることをお薦めします。

　最後は攻撃を受けてしまい被害が発生した時の対応マニュアル作りです。トップによる速やかな情報公開などを折り込み、しっかり対策をしていることを内外にアピールするとよいでしょう。

セキュリティ対策を外注することの有効性

　セキュリティを外注する代表的な方法は、クラウドを使ったウイルス対策、データセンターを外部に設置することなどです。これらのサービスを提供してくれる企業は、その分野のスペシャリストですので、高いレベルの知見を有していることでしょう。社内にゼロからセキュリティチームを作る時にかかる人材育成の期間を考えると、外注すれば明日から高度なシステムを導入できるのです。専門業者は24時間365日の管理体制をとっています。社内でこの体制を作ろうとすると非常にコストがかかることは明らかです。

　また、契約内容の見直しによって、柔軟にセキュリティシステムを変えていける点も利点です。もしも社内でがっちり人材を確保し、機材を購入したら簡単にはいかないでしょう。セキュリティのアウトソーシングを一度検討してみてはいかがでしょうか。

※1「2014 Global State of Information Security Survey」より経済産業省が作成
※2「KPMG Insight 日本におけるサイバー攻撃の状況と課題-セキュリティサーベイ2013からー」より経済産業省が作成