Bizコンパス

セキュリティ対策は「経営責任」とプロが断言する理由
2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

著者 Bizコンパス編集部

サプライチェーンへの対策が、企業価値を左右する時代に

――「ゼロトラストの時代」において、経営層がサイバーリスクをマネジメントしていくために、今後どのような視点が必要でしょうか?

竹内 いま最も注視されているのが、「サプライチェーンリスク」への対応です。昨今、大企業におけるセキュリティ対策が堅牢化したことから、サイバー攻撃者はシステム環境に欠陥を抱えたサプライチェーンの中小企業に侵入し、それを踏み台にして、狙っている大企業に攻撃を仕掛けるようになっています。IPAにおいても2019年の情報セキュリティ10大脅威の第4位に「サプライチェーンの弱点を悪用した攻撃の高まり」を挙げています。

伊藤 例えば、2013年にアメリカの量販店チェーンで発生したサプライチェーンがらみの情報漏えい事故では、設備管理業務をアウトソーシングしていた請負業者のシステムが狙われ1.1億人の個人情報が流出しました。それによって同社の四半期利益は前年比で46%減り、株価は開示後3ヵ月で16%下落、様々な訴訟を起こされ、事故の翌年にCEOが辞任する事態となりました。

 そのようなことから、情報セキュリティガバナンスの範囲をサプライチェーン全体に拡大する動きが国内外で顕著になっています。アメリカ国立標準技術研究所(NIST)は2017年にサプライチェーンのリスク管理の重要性を明記。経済産業省の「サイバーセキュリティ経営ガイドライン」でも「ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」が追記されています。

竹内 こうした国家的なガイドラインの改定によって、まだ日本ではそれほど浸透していませんが、ここ数年内には大企業が中小企業をサプライチェーンに組み込む際、セキュリティ対策の状況をチェックすることが当たり前になるはずです。ビジネスをグローバルに展開するために海外の企業と取引する際、サイバーセキュリティ対策が不十分でリスクをコントロールできていないと判断されれば、取引を断られることも起こりえます。逆に言えば、適切な対策を整えている企業はそれがビジネスの強みになります。サイバーセキュリティ対策は、ビジネスを進める上で、パートナーとして「信頼に足りうる企業か」を判断する重要な要素になっていくわけです。

SHARE

関連記事

企業のセキュリティ対策は“アウトソース”がカギ

2019.09.20

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ

自社だけ守っても意味がない!サプライチェーンリスクとの向き合い方

2019.10.28

サプライチェーンのセキュリティは大丈夫か?第3回

自社だけ守っても意味がない!サプライチェーンリスクとの向き合い方

制裁金26億円!?EUの個人情報保護法にどう対応する?

2018.03.19

日本も例外じゃない!5月スタート「GDPR」とは何か前編

制裁金26億円!?EUの個人情報保護法にどう対応する?

IoT普及によりセキュリティ対策はどうすべきか

2018.07.06

2020年に向けたサイバーセキュリティ対策を考える第1回

IoT普及によりセキュリティ対策はどうすべきか