Bizコンパス

セキュリティ対策は「経営責任」とプロが断言する理由
2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

著者 Bizコンパス編集部

「サイバーセキュリティ対策は、経営責任である」という考え方が広まりつつあります。そのきっかけは、アメリカの大手小売りチェーンで発生した7000万人におよぶ顧客情報の漏えいの責任をとり、世界で初めて企業の経営者CEOが辞任をした2014年5月まで遡ります。近年では、取締役メンバーは「監査役でなくても財務諸表を読める」のが当たり前であるのと同様に「サイバーリテラシーも必須」と言われるようになっています。今年5月には、情報漏えい事件が企業の信用格付けに初めて影響したニュースも注目を集めました。

 インシデントに対して、経営層が十分な説明責任を果たせなかった場合に企業が受けるダメージは計り知れません。しかし、企業の経営層の中には、サイバーセキュリティの重要性を理解しながらもその専門性の高さから、「情報システム部門に任せきりになっている」「何から取り組めばいいのか投資判断が難しい」と悩むケースは少なくありません。

 スマートフォンやIoT、クラウドの普及にともないあらゆる業務デバイスがインターネットとつながり始めている昨今、企業の経営層は自社のICT環境をどのように守っていくべきなのでしょうか。「経営層が知っておくべき、サイバーリスクマネジメント」をテーマに東京電機大学国際化サイバーセキュリティ学特別コース教員の伊藤潤氏、NTTコミュニケーションズ株式会社のエバンジェリスト竹内文孝氏が対談します。

気になる見出しをクリック

「セキュリティが分からない」と経営に入れなくなる

――経済産業省が公開した「サイバーセキュリティ経営ガイドライン」には、サイバーセキュリティは経営問題であると指摘しています。これにはどのような背景があるのでしょうか。

伊藤 日々、悪質化し続けているサイバー空間の脅威が、企業の存続を脅かすほどの経営インパクトを与え、1つの企業のセキュリティ事故が社会全体に悪影響を及ぼすようになっているためです。情報セキュリティなどの調査を行うPonemon Institureのレポートによると、10万人規模の情報漏えいによって企業は約4.3億円の支出が生じるとしていますが、その40%が「信用回復」などにかかるコストです。

竹内 そういったこともあり経営層の意識も確実に変わってきています。私は年間200社くらいの経営層の方々とサイバーリスクマネジメントについて話をさせていただいていますが、2016年ごろまでは「わが社には関係がない」という雰囲気でした。だんだんと「サイバーセキュリティに何らか取り組む必要がある」という声を聞くようになっています。とはいえ、サイバーリスクマネジメントの重要性は理解しているがどう取り組むべきかがわからない、あるいは今ひとつサイバーセキュリティが理解できないといった声を伺うことが少なくありません。

伊藤 その理由として、企業のICT環境の変化があります。これまでは情報資産はアクセスが制限された内部のイントラネットにあり、サイバーセキュリティ対策もネットワークの境界に注力するシンプルな防御でした。

 しかし昨今では、攻撃手法の悪質化やデジタルトランスフォーメーションの進展、働き方改革によるリモートアクセスなどによって、イントラネットとインターネットというように内外を区別することが難しくなっています。安全な領域や環境が存在しないことから「ゼロトラスト(何も信用できない)時代」とも言われ、サイバーセキュリティ対策も高度化、複雑化しているのです。

――そうした中で、企業の経営層にはどのようなことが求められているのでしょうか。

竹内 サイバーセキュリティ対策も自社のITシステムや情報資産を守るIT部門の取り組みから、事業継続性や社会的責任を考慮したリスクマネジメントの一環として経営層が統制することが求められています。

 ビジネスで起こりうるリスクをどうマネジメントするかは経営そのものです。米国で2万人以上の取締役メンバーがいる非営利団体NACD(National Association of Corporate Directors)が刊行するハンドブックには、「企業の取締役会では、財務諸表と同じように、サイバーセキュリティマネジメントについての議論をするべきである」という内容が書かれています。日本でも「サイバーセキュリティが分からない人」は経営のボードメンバーに入れなくなる時代が来るかもしれません。

サプライチェーンへの対策が、企業価値を左右する時代に

「セキュリティはコストではない」経営層は意識の変革を

デジタル変革で求められる、セキュリティへの意識とは

この記事で紹介しているサービスについて

SHARE

関連記事

企業のセキュリティ対策は“アウトソース”がカギ

2019.09.20

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ

自社だけ守っても意味がない!サプライチェーンリスクとの向き合い方

2019.10.28

サプライチェーンのセキュリティは大丈夫か?第3回

自社だけ守っても意味がない!サプライチェーンリスクとの向き合い方

制裁金26億円!?EUの個人情報保護法にどう対応する?

2018.03.19

日本も例外じゃない!5月スタート「GDPR」とは何か前編

制裁金26億円!?EUの個人情報保護法にどう対応する?

IoT普及によりセキュリティ対策はどうすべきか

2018.07.06

2020年に向けたサイバーセキュリティ対策を考える第1回

IoT普及によりセキュリティ対策はどうすべきか

NASAに学ぶ“反面教師”のセキュリティ対策

2019.11.07

セキュリティ最前線第3回

NASAに学ぶ“反面教師”のセキュリティ対策

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは

2020年、日本はサイバー攻撃の舞台となる? 今から始めるセキュリティ対策

2019.06.05

デジタル化の“第一歩”の踏み出し方後編

2020年、日本はサイバー攻撃の舞台となる? 今から始めるセキュリティ対策

使いやすくセキュリティも強化したリモートワーク、そんなオイシイ話は“ある”

2019.05.22

働き方改革&生産性向上のカギはどこにある?第8回

使いやすくセキュリティも強化したリモートワーク、そんなオイシイ話は“ある”

フォーティネットに聞く、2019年版サイバー攻撃の防ぎ方

2019.05.17

セキュリティ対策に求められる新たな視点第5回

フォーティネットに聞く、2019年版サイバー攻撃の防ぎ方

あらゆるリスクを無害化する、「最強のセキュリティ対策」とは

2019.04.24

セキュリティ対策に求められる新たな視点第4回

あらゆるリスクを無害化する、「最強のセキュリティ対策」とは

SD-LANソリューションを活用して高知工科大学が構築した「学内LAN」とは

2019.04.05

セキュリティ対策に求められる新たな視点 第3回

SD-LANソリューションを活用して高知工科大学が構築した「学内LAN」とは