サイバー脅威がかつてなく高まるなか、従来型の「守るだけ」の体制では、企業の存続すら危うくなりつつある。経営戦略と直結した「攻め」のセキュリティへと転換するために、今企業に求められている次世代のリーダー像とはどのようなものだろうか。

3月12日~13日に開催されたWebセミナー「TECH+フォーラム セキュリティ 2026 Mar. 能動的防御・新法施行で変わるセキュリティ 自社の“次の一手”を考える」に、日本サイバーセキュリティ・イノベーション委員会 代表理事 梶浦敏範氏が登壇。国際情勢の緊迫化やAI技術の進化に伴う最新の脅威動向、政府が推進するセキュリティ制度改革への対応、そしてこれからの時代に求められる「CISO 2.0」の役割について語った。

AIの進化と国際情勢の緊迫化で激変するサイバー脅威

講演の冒頭、梶浦氏は現在のサイバーセキュリティを取り巻く環境について、国際情勢の緊迫化と組織犯罪のデジタル化、そしてテクノロジーの急速な進歩により、極めて危険な状況に置かれていると警鐘を鳴らした。

実際、国内外で大規模なインシデントが相次いでいる。国内では、2025年に発覚した証券口座乗っ取り問題で、不正売買額の累計が3月だけで3000億円超に達したと報じられている。韓国では、EC最大手・クーパンで約3300万件超という、人口の6割に相当する規模の個人情報流出が発生した。

  • サイバーセキュリティの現況

    サイバーセキュリティの現況

また、ランサムウェア攻撃の手口も高度化しており、プラットフォームを乗っ取ってそこから多くの企業に被害を与え、大元の企業を脅迫するいわば「ワンストップ脅迫」とも言えるような新たな手口も登場している。

さらに同氏は、テレワークの普及と生成AIの進化がもたらす新たなリスクについても言及した。

「リモートワークの環境を悪用し、北朝鮮のITワーカーが偽名で世界各国の企業にリモート就労というかたちで潜り込んでいます。給料を得ると同時に、社内システムへの正規アクセスを持つ潜在的なインサイダーとなっており、データ窃取や将来の内部犯行のリスクが高まっています。採用にあたって経歴等をチェックするものの、AIを使った非常に高度な偽造が行われていると聞いています」(梶浦氏)

企業がまずやるべき2つの対策:ITガバナンスとサイバーハイジーンの重要性

このような状況下で、企業はどのように自社を守るべきなのか。梶浦氏は基本対策として、「自社のITガバナンスの確立」と「全従業員へのサイバーハイジーン(公衆衛生)の徹底」の2点を挙げた。

ITガバナンスの確立とは、「見えないIT」をなくすことだ。アイデンティティ(人)、デバイス、アプリケーション、インフラ、ネットワークの5要素に加え、最も難しいのがデータの把握と整理だと同氏は指摘する。

「日々増える社内のデータに対しては、誰が何の目的でどう使えるかを決めなければなりません。また、インフラに関しても、クラウド関連のインシデントの大部分はユーザー側の設定ミスだという統計があります。情報システム部門が見落としがちなIoT機器なども含め、しっかりとチェックする必要があるのです」(梶浦氏)

もう1つの柱であるサイバーハイジーンについては、日々の手洗いやうがいと同じレベルで、従業員におけるセキュリティの習慣化を求める梶浦氏。退職した従業員のIDの消し忘れが重大な情報漏えいにつながる危険性を指摘したうえで、訓練の在り方についても自身の見解を示した。

「フィッシングメールの抜き打ち演習で、ファイルを開けてしまった人をマイナス評価にすると、セキュリティ部門が敵になってしまいます。たとえ開けてしまっても、速やかに報告すれば点数を与えるといったポジティブ評価が必要です」(梶浦氏)

さらに同氏は、ランサムウェア感染、従業員による内部犯行、サプライチェーン攻撃という3つの代表的なインシデントについてシミュレーションの重要性を説いた。バックアップをどの程度の距離感で保存するか、内部犯行発覚時に警察へ通報するタイミングの難しさ、事業継続に必要なサプライヤーとの連携など、いざというときに慌てないための平時からの訓練と経営判断の重要性を強調した。

ACD法制化とセキュリティクリアランス:企業に影響する制度改革のポイント

続いて梶浦氏は、直近で進められている政府のセキュリティ制度改革の動向とその企業への影響について解説した。

1つ目は、能動的サイバー防御(ACD)の法制化だ。法律が成立し、通信傍受で得た情報の活用や危険なサーバの無害化などが政府側で可能となる。重要インフラ事業者などには、ITシステム構成やインシデント発生時の届け出義務が課せられることになり、官民連携がより一層強化される。

2つ目は、セキュリティクリアランス(重要経済安保情報保護活用法)制度の施行だ。政府が持つインテリジェンス情報が、資格を持つ民間人にも共有可能となった。しかし、企業での運用には難しさもあるという。

「本当に必要な情報以外はもらわない『Need to Know(知る必要がある人にのみ共有する)』の原則を守ることが重要です。また、資格を持つ従業員の管理や、資格を持たない経営トップにどのように危険を知らせて事業停止を判断させるかなど、管理上の課題も出てきます」(梶浦氏)

3つ目は、企業のセキュリティ努力の見える化制度だ。自己宣言である「セキュリティアクション」の1つ星・2つ星からさらに拡張し、外部監査を伴う3つ星・4つ星といった評価制度の議論が大詰めを迎えているという。

「星の数で努力が外部に見えるようになれば、投資を増やして社会の信用を得て、受注を増やそうという経営者のインセンティブが生じます。セキュリティ対策が業績向上や株価上昇につながるような制度になることを期待しています」(梶浦氏)

防御一辺倒から攻めへ「CISO 2.0」の役割とレジリエンスの強化

講演の終盤、梶浦氏は本セッションの最大のテーマである「CISO 2.0」の役割について語った。これだけサイバー空間の危険性が高まるなか、企業は事業継続の観点から「防御一辺倒の対策では不十分であり、攻めのサイバーセキュリティが求められる」と断言する。

「サイバーセキュリティは、情報システム部門やセキュリティ専任部署に任せきりではうまくいきません。現場の営業担当者や工場の設備担当者、事業企画担当者、さらには契約担当の法務部門に至るまで、全社でセキュリティを意識しなければ、DXを進めてもなりすまし等で事業が頓挫してしまいます」(梶浦氏)

そこで求められるのが、これまでのCISO像(CISO 1.0)からの脱却と、次世代のCISO 2.0への進化だ。

梶浦氏によると、従来のCISOの役割は、経営者への提案とサポート、日々のインシデント対応、長期的なセキュリティ対策の立案、次世代の要員の採用・育成など、社内のITシステムを守り、起きてしまった事象に対応するアプローチが主であった。

しかし、新時代が求めるCISO 2.0は、その役割のスコープを大きく広げる必要がある。全体的に見た費用対効果(ROI)の算出、サプライチェーン全体のリスク評価、DXが生む新しいリスクの見極め、そしてDXによる事業構造改革の主導といった、より経営や事業戦略の根幹に踏み込んだ能動的なアプローチが求められるのだ。

  • CISO 2.0の役割

    CISO 2.0の役割

「これまでのボトムアップによる『Incident Driven』では、必ず被害が起きてから動くことになります。CISO 2.0は、それに加えてトップダウンによる『Intelligence Driven』のアプローチを採り入れるべきです。他社のインシデント事例や外部のインテリジェンスから『うちは大丈夫か』と予防的な措置を講じることが重要になります」(梶浦氏)

CISO 2.0は、経営者から現場、そして外部のサプライチェーンに至るまでのステークホルダーを俯瞰し、情報開示とコミュニケーションを通じて、Intelligence DrivenとIncident Drivenの2つのベクトルを融合させるハブとして機能しなければならない。

最後に同氏は、次のように総括し、講演を締めくくった。

「国際情勢の緊迫化により、企業にとっても地政学的リスクを意識すべき時代になりました。政府の制度改革も進むなか、企業のセキュリティ対策の中核となるCISOは、守りだけの1.0から、事業部門やサプライチェーンにまで関与する2.0へと進化していただきたい。CISO 2.0を中心に、いざというときのレジリエンスを高めた企業こそが、次の時代に評価されるのです」(梶浦氏)