経営層に、サイバーセキュリティの重要性を理解してもらうには?

サイバーセキュリティ対策にかかる投資は企業にとって軽くない負担となる。そのため、サイバーセキュリティ対策を進めていくためには、経営層の理解が欠かせない。メディアで日々取り上げられる、サイバー犯罪の被害情報を受け、危機感を募らせてサイバーセキュリティ対策の取り組みをおこなう経営層もいるものの、軽視して放置状態にあることも少なくない。その背景には、売上向上にも業務効率向上にも直結しないサイバーセキュリティ対策に対し、予算をかける必要性を感じていないということがある。サイバーセキュリティの重要性を、どう伝えれば経営層に理解してもらうことができるのか。本記事では、そのアプローチ方法を考えていく。

サイバーセキュリティ対策に対する経営者の意識

そもそも経営層は、サイバーセキュリティの重要性をどの程度理解しているのだろう。これについて、興味深いデータが存在する。IPAによる「企業のCISOやCSIRTに関する実態調査2017」では、日本の経営層が情報セキュリティの意思決定に関わる割合は6割近くに上るものの、欧米諸国と比較すれば高くないとしている。また、CISO(Chief Information Security Officer 最高情報セキュリティ責任者)の設置も遅れていることがわかる。欧米では7割から8割の企業がCISOを設置しているのに対し、日本では3割弱に過ぎない。これらの事実からも日本では、経営層のサイバーセキュリティへの関与度が高くないことが明らかだといえる。

情報セキュリティに関する会議等の有無
出展:IPA「企業のCISOやCSIRTに関する実態調査2017」

CISO等設置状況
出展:IPA「企業のCISOやCSIRTに関する実態調査2017」

経営層にサイバーセキュリティの重要性を理解してもらうために必要なこと

それでは、意識の低い経営層に対し、どのようにサイバーセキュリティの重要性を理解してもらえばよいのか。従来であれば、経営層に対する不安をあおるという手法を取るのが一般的だった。相次ぐ情報漏えいやランサムウェアに代表されるサイバー犯罪は数多くの被害をもたらしており、経営層に対しても一定の説得力を持つ。特に国内でも大きく報道されたインシデントが経営層を動かしたという心当たりがある企業も少なくないのではないだろうか。

しかし、規模の小さな中小企業の場合、もともとの投資余力が小さい上に、自社には漏えいしても価値がある情報資産はないと考える経営層もいる。そうした根拠のない持論をもとに、サイバー犯罪の被害に遭う可能性はないと信じてしまう。このように凝り固まった考えに至った経営層を、サイバーセキュリティ対策に目を向けさせることは容易ではない。ましてや実際に投資にまで踏み切ってもらうのは、至難の業であるといっても過言ではない。

だからこそ、従来とは異なるアプローチが求められるのだ。つまり、サイバーセキュリティ対策は、情報漏えいやサイバー犯罪を避けるための後ろ向きの投資ではなく、事業を拡大し会社を成長させるために必要な前向きな投資である、という意識付けをおこなうということである。

企業経営のためのサイバーセキュリティに関する基本的な考え方

まずは、経営層に対し、サイバーセキュリティに関する基本的な考え方を理解してもらうことから始める必要がある。基本的な考え方は、内閣官房内閣サイバーセキュリティセンター「企業経営のためのサイバーセキュリティの考え方の策定について」が公開している、サイバーセキュリティに対するふたつの基本的認識が参考になるだろう。これをベースに、まずは経営層の意識改革に着手いただきたい。

①サイバーセキュリティは、利益を生み出し、ビジネスモデルを革新するものであり、新しい製品やサービスを創造するための戦略の一環として考えていく必要がある。

②全てがつながる社会において、サイバーセキュリティに取り組むことは、社会的な要求・要請であり、自社のみならず社会全体の発展にも寄与することとなる。

※「企業経営のためのサイバーセキュリティの考え方の策定について」より引用

「①」の考えについて

情報技術の進歩が激しい現代においてIoTやAIなどの情報技術を積極的に活用することは、企業の競争力の源泉として優位性を築くとともに長期的な成長戦略にも繋がる。しかし、そうした情報技術もサイバーセキュリティなくしては成り立たない。情報技術が進化すればするほど、サイバーセキュリティの重要性は増す。サイバーセキュリティは、情報技術を活用するためのインフラであり、対策が確立されていなければ、技術の導入自体が困難となる。つまり、サイバーセキュリティへの投資は、情報技術への投資と同じく、前向きな成長を促す投資である。

「②」の考えについて

インターネットの普及は、社会における企業と企業、企業と人、そして社会全体をも互いにつながる社会をもたらす。そのうちの一要素となる企業において、情報セキュリティ対策を進めることは社会からの要求・要請であり、社会的な使命とみなすことができる。そして、社会全体の発展に寄与するということを、経営層は理解しなければならない。逆に言えば、企業のサイバー攻撃被害は、社会全体へと広がる可能性があり、害とみなされることすらあるということだ。社会・地域の中で存続を図る企業が、自社の利益のみを優先してサイバーセキュリティ対策をないがしろにすることは、決して許されることではない。

経営者が認識すべきサイバーセキュリティの3原則

経営層に、サイバーセキュリティに関する考え方を理解してもらうことが出来たら、より具体的な行動に移すことが求められる。しかし、やみくもなサイバーセキュリティ対策は十分な効果をもたらすとはいえない。適切な順序で、計画的かつ組織的にサイバーセキュリティ対策をとることが必要となるのだ。実際にサイバーセキュリティ対策を行動に移すにあたっては、IPAの「サイバーセキュリティ経営ガイドラインVer2.0」が参考になるだろう。このなかで、経営者が認識すべきサイバーセキュリティの3原則が挙げられている。サイバーセキュリティ経営ガイドラインでは、この3原則に基づき、「サイバーセキュリティ経営の重要10項目」についても言及している。実際に、サイバーセキュリティ対策を実行に移していく際は参考にしてほしい。

経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要

経営層自らがサイバーセキュリティリスクを自分ごとと認識し、リーダーシップを発揮して、適切な経営資源の配分をおこなっていくことが重要である。

自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要

自社だけでなく、取引先やビジネスパートナーも意識したセキュリティ対策が必要となる。このことは、大企業がセキュリティ対策を講じる場合、取引先となる中小企業にもセキュリティ対策が求められるということである。

サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要

日頃から、サイバーセキュリティ対策については、オープンな姿勢で関係者とのコミュニケーションを取ることが求められる。このことは、実際にセキュリティ被害に遭った際にも、情報公開の姿勢や迅速な活動につながる。

ずさんなサイバーセキュリティ対策が招いたセキュリティ事故

サイバーセキュリティに対する基本的な考え方や、サイバーセキュリティの3原則を、経営層が正しく理解すれば、組織的なサイバーセキュリティ対策が実行に移される可能性は高まるだろう。加えて、経営層が実際に発生したセキュリティインシデントを知り、理解することで、より具体的かつ実効性の高いセキュリティ対策の推進が期待される。ここでは表舞台に出ることは少ない、中小企業のセキュリティインシデントについて3例紹介する。

インターネットバンキングの不正送金

金融機関を名乗る宛先から経理担当者に対し、「お知らせ」という件名の電子メールが届いた。開封して表示された画面は、取引のある銀行のホームページ。SSLの鍵マークもあり、たしかに金融機関のホームページで間違いなさそうだ。そのホームページの画面とは別の画面が同時に表示され、ユーザー情報の確認として、インターネットバンキングのIDや暗証番号、秘密の質問の答えの再入力が要求された。担当者は、表示されているホームページが正規の金融機関のものであると判断し、その要求に応じて情報を入力した。翌日、金融機関のホームページに担当者がアクセスしたところ、口座の残高がゼロになっていた。実は、この手法は新たな不正送金手口。本物の金融機関のページを表示させながら、ポップアップで情報を搾取する偽ページを表示するというものだったのである。

ランサムウェアによるデータ消失

ある建設業の情報システム担当者が、営業部長のパソコンに不調が発生しているという呼び出しを受けた。情報システム担当者が該当のパソコンを確認したところ、ランサムウェアに感染していることが発覚。幸いなことに、LANケーブルは即座に抜かれており、社内の二次感染は免れた。しかし、繁忙期に営業部長の業務が滞る状況を引き起こし、混乱を招く結果となった。その後の調査で、ランサムウェアの感染は「クレジットカードの引き落としができません」というメールに添付されたファイルだったことが判明した。

内部不正による情報漏えい

ある不動産業者は、顧客情報や業務情報などの重要なデータを、従業員が外部のオンラインストレージにて不正に保管していたことを公表した。保管していた情報は、顧客の資金計画書や見積書、建築図面のほか、契約書まで含まれていた。第三者へのデータ供与といった二次被害は確認できなかったが、事業展開する上で同社の信頼は大きく損なわれた。その後同社は、同従業員を不正競争防止法違反により刑事告訴している。

前向きなサイバーセキュリティ対策投資をするために

ITの進化は今後も衰えることなく続いていく。中小企業においてもITの活用度合いが競争力の源泉となり、長期的な成長にも繋がる。もはやITなくして企業の長期的な成長戦略は描くことが難しいともいえる。一方で、ITの活用は、サイバーセキュリティ対策というITにおける基盤が確立されなければ難しいだろう。

自社を主観的にみて、社内には重要な情報が存在しない、と判断する経営者も少なくない。その前提に立つと確かにセキュリティ対策は必要ではないというロジックも成立してしまうかもしれない。しかし、近年では従来の盗まれるものがなければ対策が不要という言い訳は通用しなくなってきている。サプライチェーン攻撃を恐れ、セキュリティ対策を講じている企業にのみ発注するということも今後、増えていくだろう。

経営層にサイバーセキュリティの重要性を理解してもらうには、サイバーセキュリティ対策を講じないことによるリスクを訴求するよりも、対策を講じることでのメリットを訴求するほうが効果的である。いまや、サイバーセキュリティ対策は重要な局面にあることを強く認識すべきであり、積極的な取り組みが進んでいくことを期待したい。