サイバー攻撃やハッカーのスキルが高度化する今日、企業経営にとってサイバーセキュリティ対策は喫緊かつ不可欠な課題です。経済産業省が提供する「サイバーセキュリティ経営ガイドライン」や、(独)情報処理推進機構による「中小企業の情報セキュリティ対策ガイドライン」をベースに、中小企業にも可能な最新のサイバーセキュリティ対策を探ります。
サイバーセキュリティに対する経営の関与の高まり
1.サイバーリスクが経営リスクに
世の中には企業経営に直結するようなさまざまなリスクが潜んでいる。異常気象や国家間の武力紛争、また景気の衰退や環境汚染など、企業経営に影響を及ぼすリスクが存在する。その中でもサイバーリスクは、ここ数年で企業経営リスクの中でも大きな影響を与えるリスクとなっている。
世界経済フォーラムが毎年公表している「グローバルリスク報告書」において、サイバーセキュリティに係るリスクは、他の経営リスクと並んで上位に位置付けられている。
日本でもサイバーセキュリティに経営が関与すべきという宣言やガイドラインが複数出ている。日本経済団体連合会(経団連)が2022年10月に「経団連サイバーセキュリティ経営宣言2.0」を公表し、サイバーセキュリティは国家安全保障に関わる最重要領域の一つである旨の声明を発信している。また、経済産業省は23年3月に「サイバーセキュリティ経営ガイドラインVer3.0」を公開し、サイバーリスクを経営課題と位置付け、経営者自らがリーダーシップを取ってサイバーリスクに対応するべきということで、「経営者が認識すべき3原則」と「サイバーセキュリティ経営の重要10項目」を提示している。
2.サイバーセキュリティに関する経営者の声
日本は欧米に比べて、経営側がセキュリティの知見・経験が多くないのが実態である。実際に最高情報セキュリティ責任者(CISO)の設置の割合は、アメリカが95.5%に対して日本は41.1%と、半数以下の調査結果も出ている(NRIセキュアテクノロジーズ「NRI Secure Insight 2023〜企業における情報セキュリティ実態調査〜」より)。サイバーリスクを経営リスクとして対応する際は、収支やブランド価値への影響を意識し、説明責任を果たすための対応が求められる。
多くのセキュリティ課題に対応する必要があるセキュリティ責任者(CIO・CISO等)やその補佐の方と話をすると、以下を意識した対応を行う必要があるとよく聞く。
- 【外部環境】
- ・ 自社に関連する国内や海外のサイバーセキュリティの動向
- ・ 同業他社や同規模企業のサイバーセキュリティへの経営の関わり
- ・ 経営影響に直結するインシデント事例
- ・ サイバーセキュリティ事故や対策と経営(株価・収益)の関連
- ・ 外部のステークホルダー(投資家、所轄官庁、関連団体等)との関係構築
- 【内部環境】
- ・ 経営会議や取締役会での報告内容
- ・ サイバーセキュリティ対策と投資・体制
- ・ 平時と有事の際の経営と現場の体制・役割
- ・ グループや取引先等サプライチェーンのセキュリティ対応
サイバー攻撃の変化と企業への影響
1.セキュリティインシデントの経営への影響
サイバー攻撃の高度化・巧妙化に伴い、年々被害が大きくなっている。インシデント対応の実損だけでなく、株価下落や風評被害での付随的な収支影響も伴う事例が後を絶たない。ランサムウェアの被害を受けた企業が事実公表した結果、株価が5%以上下落するケースが多い。ITサービスを提供する企業ほど、株価下落率が大きいという話もある。それだけではなく、情報開示のスピードやその公表内容に伴い経営者の責任が問われて、報酬返上や辞任に至ったケースも存在する。
以下では、最近の脅威トレンドである「ランサムウェア」と「サプライチェーンセキュリティ」による影響を整理する。
①ランサムウェアリスク
ランサムウェアとは、パソコンに保存されているファイルを暗号化し、復号するための金銭(身代金)を要求する攻撃である。当社調べでは、身代金要求額は平均10億円程度にのぼる。最近は復号するための対応だけでなく、侵入された際に社内の膨大な情報を搾取し、その情報を人質にさらなる金銭要求に発展する事例も増えている。インシデント対応の内容によっては風評被害が拡大し、さらなる収益悪化につながることも懸念される。
ランサムウェア被害を受けた際に、攻撃者に身代金を支払うべきかという議論が起きている。 ただし、以下の理由で一般的には身代金を支払うべきではないという経営判断をすべきと考える。
- ・ 法的な観点(反社会的勢力への金銭供与にあたる等)
- ・ 一度支払っても事態の解決にならず要求がエスカレーション
- ・ 攻撃者に「支払いに応じる企業」と見なされ再攻撃のリスク
- ・支払い事実による風評被害
②サプライチェーンに対するリスク
サプライチェーンセキュリティリスクとは、サプライヤーとのつながり(チェーン)で発生するセキュリティリスクを指す。サプライチェーンリスクは「ビジネス」「ソフトウェア」「サービス」の三つに分類される。
- ・ビジネスリスク
- グループ会社や委託先が攻撃を受けて、自社環境まで攻撃を受ける場合や、グループ会社・委託先がその攻撃によりサプライチェーンが止まってしまうリスク。
- ・ソフトウェアリスク
- 企業が利用しているソフトウェアの中に不正プログラムが混入されたままサービス提供され、当該ソフトウェアを起因に複数の企業が攻撃されるリスク。
- ・サービスリスク
- 利用しているSaaSサービスがランサムウェア攻撃を受けて、サービス停止による企業側の業務停止や、当該サービスの保有する機密・個人情報の漏えいリスク。
経営陣のセキュリティ責任者は、サプライチェーンセキュリティリスクは複数存在することを認識し、その影響を把握したうえで、未然防止のための予防対策と併せて、発生したときを想定した対処方法を整理しておく必要がある。
経営がサイバーセキュリティで実践すべき事項
1.経営が特に意識すべきサイバーセキュリティの対応事項
サイバーリスクに対して経営が取り組むためには、リーダーシップをとってサイバーセキュリティに関与することが必要である。特に、経営陣のセキュリティ責任者が日常的に実践すべき主な事項について整理する。
①セキュリティの経営報告事項
サイバーリスクの対応に注目している経営陣や社外取締役は、多くなってきている。以下のような事項を経営会議や取締役会等で報告している企業が増えてきている。KPI(重要業績評価指標)を定めて、その目標に対しての実績報告を行い、経営全体でセキュリティ対応を監視・監督して推進していくことが肝要である。
- ・ セキュリティ方針、規程の解説と適用範囲・状況
- ・サイバーリスク評価結果と対策
- ・ セキュリティ実行計画と対応結果・国内外の動向や他社事例
- ・ セキュリティ体制・リソース状況や予算適用状況
- ・ 公的機関や業界団体の動向や連携状況 等
②サイバー経営資源の確立
サイバーリスクに対して、経営層は対策を主導するIT・セキュリティ部門の対応を適切に承認・監督しつつ、必要なリソースの確保・割り当てが重要である。まずは、セキュリティ対策を推進するための全社的な体制・役割を定義・整備することが必要である。そのうえで、IT・セキュリティ部門が主導するセキュリティ対策を適切に承認・監督しつつ、対応に必要なリソース(ヒト・モノ・カネ)を確保し割り当てる。そうすることで、有事(インシデント)の際、IT・セキュリティ部門をはじめとする関係部門を指揮し、対応を判断・実行することができるようになる。
③サイバーリスクマネジメント
サイバーリスクマネジメントは、セキュリティに関するルール・体制の構築を行い、そのうえでセキュリティ脅威への技術的な対応を実施、ルール・体制・対策が行われているかをリスクアセスメントし、継続的な改善を行うことが重要である。PDCAサイクルを確立させて、リスクコントロールを実施することで、リスク低減を行うだけでなく新たな脅威への対応も継続的に行うことができ、セキュリティレベルの維持・向上を図ることができる。
④サプライチェーンリスクマネジメント
サプライチェーンリスクは前述のとおり、企業の環境によって多岐にわたるリスクが顕在化する可能性がある。まずは各種サプライチェーンリスクに対してどの会社が対象で、どのような委託を行い、どのような情報を預託して、どんなサービスを利用しているかを正しく管理する必要がある。 また、IT系の管理を優先しがちなため、非IT系を含む委託業務をすべて可視化し、委託先を管理部門や法務部門などでも確認する必要がある。そのうえで、リスク顕在時のビジネスインパクトや預託情報の機密レベル、業務の代替可否などの複数軸でリスクコントロールや対策の優先度を決定し、必要な打ち手を検討することが必要である。
⑤DX推進のためのセキュリティ
従来、セキュリティ対策の主管は、セキュリティ管理部門が中心に行っていたが、DX化推進により現場部門もセキュリティ対応を実施しなければならない。 また、従前はサービスやシステムのリリース前のテストで問題を検出して対応していることが多かったが、手戻り防止や検出漏れを防ぐため、脆弱性を上流工程から検出して起案段階から有識者によるサイバーセキュリティを意識した企画・設計が必要となっている。
⑥インシデント態勢の構築
インシデント発生時の対応を正確・迅速に行うために、情報システム部門やセキュリティ部門の対応だけでなく経営層が自らリーダーシップを取り、社内の各部門を巻き込んだ対応を行うことが必要である。 そのためには、サイバーセキュリティに関する十分な知識・経験を持つ者が経営側にも必要となって経営がサイバーセキュリティリスクに対して自分事として捉えて対応をリードし、横断的に連携して継続的に対応することで、サイバーセキュリティへの態勢強化と成熟度の向上を図ることができる。
サイバーセキュリティへの経営の関与
1.自らサイバーセキュリティの対応を推進
サイバーリスクは経営リスクに直結するため、経営層がサイバーリスクを自分事として捉え、連携して責任を持ってサイバーリスクマネジメントを推進する必要がある。また、サイバーリスクの脅威に対して、自ら情報収集を指示しその判断を担うことで、サイバーセキュリティに対して能動的に対応する風土を醸成し、会社全体で取り組めるようになる。
サイバーリスクはOA環境だけでなく、新事業のDX化のためのサービスについても対応を行うべきである。そうすることで、経営層が率先して会社全体のサイバーリスクを把握し、サイバー対策の実施計画の策定から実行管理まで行い、継続的なチェック・改善によりサイバーセキュリティの向上を実現することができる。有事の際に経営や現場部門と適切なコミュニケーションを図り、外部の所轄官庁や各種団体、セキュリティベンダーとも密に連携して対応することで、確実なインシデント態勢を構築することができる。
2.サイバーリスクマネジメントを会社全体で推進
経営と現場が密に連携して「脅威を理解」し、「自社の実情を可視化」し、サイバーリスクに対して平時・有事対応を継続的に実施することが必要である。また、平時と有事の際に経営層のリーダーシップを発揮し、現場部門と密にコミュニケーションを図る必要がある。その結果、平時の際に定常的に脅威と対策可視化を把握し、有事の際に全社横断で脅威と対策実情から最適な対策を図ることができる。
サイバーリスクは、自社のみならず関連するすべてのステークホルダーを把握し、本社・グループ会社と併せてビジネスパートナー含めてサイバーリスクを全体俯瞰し、必要な資源を投入する必要がある。そのため、IT部門以外もサイバーセキュリティの重要性を理解し、必要な対策を実施することが重要である。サイバーリスクに対して必要な資源(ヒト・モノ・カネ)を算出し、適正な投資・配備をし続けることがサイバーリスクマネジメントを会社全体で実践できるポイントと言える。
※本稿は、月刊誌「りそなーれ」2024年12月号(発行:りそな総合研究所株式会社)への寄稿内容を転載したものです。
