サイバーセキュリティ対策に取り組む企業の担当者が、"これだけは押さえておきたい基礎知識"を取り上げる本連載。

連載第1回~3回まで、Webサイトセキュリティの基礎知識や対策方法、情報漏洩してしまった際の対応フローといった、より実務に近い内容を取り上げてきました。サイバーセキュリティについては、政府主導でさまざまな施策が展開されて意識改革が進んでいますが、実際に現場では対策が進んでいるのでしょうか?第4回では各企業の対策状況について取り上げます。

急速に進む政府のサイバーセキュリティ施策

まずは国の動きとしてサイバーセキュリティに関する取り組みを簡単におさらいしたいと思います。国内の企業がサイバーセキュリティに取り組むきっかけとなったのは、2014年11月に衆議院にて可決・成立した「サイバーセキュリティ基本法」にあります。この法律ではサイバーセキュリティの基本施策やサイバーセキュリティ戦略本部の設置といった内容が定められ、国内のサイバーセキュリティ戦略の基礎となりました。

そして2015年9月に、この基本法の定めによって「サイバーセキュリティ戦略」が閣議決定されました。この戦略の目的のひとつに「経済社会の活力向上と持続的発展といった目的達成」があり、その目的達成のために「セキュリティマインドを持った企業経営の推進」が施策として挙げられています。

そして2015年12月、経済産業省がIPA(独立行政法人情報処理推進機構)とともに「サイバーセキュリティ経営ガイドライン」を策定し、経営者が自らリーダーシップをとってサイバーセキュリティ対策に取り組むべき指針が発表されました。

こうした流れにより、サイバーセキュリティに対する取り組みがいよいよ経営課題として捉え始められました。

各企業のサイバーセキュリティの現状

この「サイバーセキュリティ経営ガイドライン」策定から一年が経過しましたが、各企業の意識改革や対策はどのくらい進んでいるのでしょうか?

Webセキュリティベンダーとして弊社の視点で見てみると、各企業の意識が少しずつ変化していることがわかります。最もわかりやすいのは、“現場”である各企業との商談です。今まではセキュリティの費用対効果の話が中心となり、経営層に理解を得にくいといったことが多々ありました。しかし、情報漏洩やサービス妨害の被害が相次ぐ今日ではお問合せや商談内容にも変化があり、対策を前提として危機感を持ってサービス選定に取り組む企業が増えてきました。2015年春から開始された「情報セキュリティマネジメント試験」では、経営層と技術者(ベンダー企業)との橋渡し役の創出といったことも期待されていますが、こうしたポジションが増えることでより経営層の意識改革が加速すると思われます。また、セキュリティイベント開催数の増加やブース出展数、ブースに集まる人の数を見ても、サイバーセキュリティのニーズや盛り上がりを体感することができます。

このように、サイバーセキュリティ経営ガイドラインの策定からわずか1年数カ月ですが、かなり早いスピードで意識改革が進んでいるといえます。

課題は足元の状況把握

しかし、実際に対策に取り組んでみると障壁も多く、苦戦している企業も見受けられます。つい最近も、大手化粧品メーカーの子会社が運営するECサイトにバックドアプログラムが仕掛けられ、クレジットカード情報などが漏洩してしまったニュースがありましたが、その後の調査報告書を読むと、適切な脆弱性対策が行われていなかったことと事実誤認が、情報漏洩の原因であったと記載されていました。特にECサイトのセキュリティ対策はファイアウォールだけという状態だったものの、その他のセキュリティサービスを導入していると誤認していたとのことでした。

このニュースは一例ですが、大企業やそのグループ企業であっても、セキュリティを統括して管理する体制が整っておらず、また予算の権限が子会社毎に振り分けられているといった内情もあり、管理と対策の実施が追いついていないという課題を見て取ることができます。

こうした課題を解決しようとしたとき、SOC・NOC・CSIRTの立ち上げといったセキュリティの組織戦略といったことに走りがちですが、CISO(最高情報セキュリティ責任者)も定着していない国内では体制構築のノウハウを持っている企業もほぼありません。

経済産業省のレポートによると、情報セキュリティ人材は2019年を境に人材供給が減少傾向となり、2020年には約20万人が不足するといわれています。セキュリティ人材というと、高度なハッキング技術を持つホワイトハッカーであったり、ログやトラフィックといった膨大なデータ解析を行うセキュリティエンジニアをイメージするかもしれません。たしかにセキュリティベンダーや、ITベンダーのセキュリティ部門はこうした高いスキルと知識を持った人材が必要になりますが、その他多くのユーザー企業で求められている人材は、自社のWebセキュリティ対策状況を把握して適切な対策を選択できる人です。特に中小企業ではWebセキュリティ分野を情報システム部門が担っていることも多いため、まずは情報システム部門の延長といった形で、ネットワークやセキュリティ知識をもった人を抜擢、または採用することが現実的でしょう。そしてまずは社内ネットワークと社外ネットワークにおけるセキュリティ状況の把握、稼働しているサービスへの対策といった足元の不安を解消し、徐々にセキュリティ担当者を組織化していくことから始めるのも方法のひとつです。

今後も高まるセキュリティ担当者のニーズ

また、2016年10月からサイバーセキュリティ分野の初の国家資格として、情報処理安全確保支援士(登録セキスペ)の試験も始まり、サイバーセキュリティに関する国を挙げての取り組みは今後もさらに加速していくでしょう。国を挙げての取り組みは国内に限らず、米国ドナルド・トランプ政権においても、サイバーセキュリティを優先して取り組む最重要政策のひとつに位置づけています。FintechやIoTといった巨大な市場が賑わい、モノとインターネットのつながりによってますます生活が便利になりますが、これらの成長産業が順調に伸びていくかどうかはセキュリティが担保されてこそです。企業のセキュリティ担当者の方が活躍するフィールドはさらに広がってきますので、事業を支えるアンサングヒーローとして活躍してほしいと思います。

執筆者紹介

サイバーセキュリティクラウド マーケティング部
川島 平

大手アパレルメーカーに入社後、店長として現場経験を積む。その後、外資系デベロッパーやWeb広告代理店、EC事業会社でのマーケティングを経て、現サイバーセキュリティクラウドのPR・マーケティングプロモーション戦略全般に携わる。好きな食べ物は「原宿餃子楼」の餃子。