経済産業省商務情報政策局サイバーセキュリティ課 企画官 土屋博英氏

経済産業省は2015年に情報処理推進機構(IPA)とともに「サイバーセキュリティ経営ガイドライン」を策定しました。IoTやビッグデータの活用などに伴い、工場などの制御システムがネットワークとつながるなど、企業が管理するさまざまなシステムをネットワークに接続して連携することが一般的になってきました。そのため、情報システムだけでなく、このようなシステムを狙ったサイバー攻撃も、もはや避けられない状況です。しかし、企業自身がその重要性に気づいていないケースも多々見られます。

IPAの調査によるとサイバー攻撃を受けた企業の割合は37.1%。そのうち27.9%は攻撃を受けたが被害はなかったと答えていますが、9.2%は実際に被害を受けています。一方で米セキュリティ企業ファイア・アイの調査では7割の組織が外部から指摘されて、はじめてインシデントに気づいたとのデータもあり、サイバー攻撃を受けても自分たちで気づくのは難しいことを示しています。

経営者のサイバーセキュリティ意識を調査すると、セキュリティ対策を推進する経営幹部がいる企業は日本で27%、グローバルなら59%です。また、サイバー攻撃の予防を取締役会で議論すべきと答えたのは「どちらかといえば」を含めても68%であり、まだまだリスク認識が足りないと言えます。
 
ガイドラインで提示した経営者が認識すべき原則は1.経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要2.自社のみならず、ビジネスパートナーを含めた対策が必要3.平時および緊急時のいずれにおいても、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要の3つです。

1.は企業がITを利活用するうえで、サイバー攻撃は避けられないリスクとなっており、経営戦略としてセキュリティ投資は必要不可欠であり、経営者の責務だという認識を持つこと。

2.は子会社や系列会社、取引先がサイバー攻撃を受け、自社の重要な情報が流出することも考えられます。サプライチェーンのビジネスパートナーも含めたセキュリティ対策を考える。

3.はサイバーセキュリティリスクや対策、対応に関連する情報の開示などを含めた関係者との適切なコミュニケーションは、ステークホルダーの信頼の醸成にもつながります。インシデントが発生した場合だけでなく日ごろから適切な開示を行うことが必要となります。

【サイバーセキュリティ経営ガイドライン】 http://www.meti.go.jp/policy/netsecurity/mng_guide.html