セキュリティ対策は「経営責任」とプロが断言する理由

著者　Bizコンパス編集部

「サイバーセキュリティ対策は、経営責任である」という考え方が広まりつつあります。そのきっかけは、アメリカの大手小売りチェーンで発生した7000万人におよぶ顧客情報の漏えいの責任をとり、世界で初めて企業の経営者CEOが辞任をした2014年5月まで遡ります。近年では、取締役メンバーは「監査役でなくても財務諸表を読める」のが当たり前であるのと同様に「サイバーリテラシーも必須」と言われるようになっています。今年5月には、情報漏えい事件が企業の信用格付けに初めて影響したニュースも注目を集めました。

　インシデントに対して、経営層が十分な説明責任を果たせなかった場合に企業が受けるダメージは計り知れません。しかし、企業の経営層の中には、サイバーセキュリティの重要性を理解しながらもその専門性の高さから、「情報システム部門に任せきりになっている」「何から取り組めばいいのか投資判断が難しい」と悩むケースは少なくありません。

　スマートフォンやIoT、クラウドの普及にともないあらゆる業務デバイスがインターネットとつながり始めている昨今、企業の経営層は自社のICT環境をどのように守っていくべきなのでしょうか。「経営層が知っておくべき、サイバーリスクマネジメント」をテーマに東京電機大学国際化サイバーセキュリティ学特別コース教員の伊藤潤氏、NTTコミュニケーションズ株式会社のエバンジェリスト竹内文孝氏が対談します。

「セキュリティが分からない」と経営に入れなくなる

――経済産業省が公開した「サイバーセキュリティ経営ガイドライン」には、サイバーセキュリティは経営問題であると指摘しています。これにはどのような背景があるのでしょうか。

伊藤　日々、悪質化し続けているサイバー空間の脅威が、企業の存続を脅かすほどの経営インパクトを与え、１つの企業のセキュリティ事故が社会全体に悪影響を及ぼすようになっているためです。情報セキュリティなどの調査を行うPonemon Institureのレポートによると、10万人規模の情報漏えいによって企業は約4.3億円の支出が生じるとしていますが、その40％が「信用回復」などにかかるコストです。

竹内　そういったこともあり経営層の意識も確実に変わってきています。私は年間200社くらいの経営層の方々とサイバーリスクマネジメントについて話をさせていただいていますが、2016年ごろまでは「わが社には関係がない」という雰囲気でした。だんだんと「サイバーセキュリティに何らか取り組む必要がある」という声を聞くようになっています。とはいえ、サイバーリスクマネジメントの重要性は理解しているがどう取り組むべきかがわからない、あるいは今ひとつサイバーセキュリティが理解できないといった声を伺うことが少なくありません。

伊藤　その理由として、企業のICT環境の変化があります。これまでは情報資産はアクセスが制限された内部のイントラネットにあり、サイバーセキュリティ対策もネットワークの境界に注力するシンプルな防御でした。

　しかし昨今では、攻撃手法の悪質化やデジタルトランスフォーメーションの進展、働き方改革によるリモートアクセスなどによって、イントラネットとインターネットというように内外を区別することが難しくなっています。安全な領域や環境が存在しないことから「ゼロトラスト（何も信用できない）時代」とも言われ、サイバーセキュリティ対策も高度化、複雑化しているのです。

――そうした中で、企業の経営層にはどのようなことが求められているのでしょうか。

竹内　サイバーセキュリティ対策も自社のITシステムや情報資産を守るIT部門の取り組みから、事業継続性や社会的責任を考慮したリスクマネジメントの一環として経営層が統制することが求められています。

　ビジネスで起こりうるリスクをどうマネジメントするかは経営そのものです。米国で2万人以上の取締役メンバーがいる非営利団体NACD（National Association of Corporate Directors）が刊行するハンドブックには、「企業の取締役会では、財務諸表と同じように、サイバーセキュリティマネジメントについての議論をするべきである」という内容が書かれています。日本でも「サイバーセキュリティが分からない人」は経営のボードメンバーに入れなくなる時代が来るかもしれません。