経済産業省 商務情報政策局
サイバーセキュリティ課長
奥家敏和氏

サイバーセキュリティに対する脅威が多様化、巧妙化する中で、セキュリティに対して企業に求められる姿勢も変わりつつあります。経済産業省の奥家敏和氏は、「新たな段階に入るサイバーセキュリティの課題」と題して、国内及び海外での注目すべき動向を紹介するとともに、さまざまなサイバーセキュリティ脅威に直面する経営者のあり方を示した「サイバーセキュリティ経営ガイドライン」について解説しました。

IPAが行った「企業のCISOやCSIRTに関する実態調査2017」によれば、国内企業は自社のセキュリティ対策の把握状況こそ、欧米とさほど遜色ないものの、委託先のセキュリティ状況の把握については、欧米に大きく劣っているのが現状です。

また、IPAが大企業に対して行った「情報セキュリティに関するサプライチェーンリスクマネジメント調査」では、86％の企業が委託先のセキュリティ対策状況を把握していますが、再委託先または再々委託先以降のセキュリティ対策状況を把握している企業は、半数以下（47％）にとどまっています。

一方、アメリカではサイバーセキュリティの基本的なフレームワーク「Cyber Security Framework」が制定され、その中でサプライチェーンに対するセキュリティ対策が求められており、欧州においてもエネルギーや交通、金融といった重要インフラ業者に対してはサプライチェーンのセキュリティ対策を義務化するなど、海外では各国がサプライチェーンへのセキュリティ対策を求める取り組みを模索中です。

さらに日本でも、2020年の東京オリンピックを控え、ボット対策としてネットワークにつながる製品のサイバーセキュリティの要件も議論されています。

奥家氏は「セキュリティ要件を満たさない製品やサービス・事業者が、サプライチェーンに参加できなくなる懸念が高まってきている」と語り、サプライチェーンに対するセキュリティ対策の重要さを訴えました。

国内でも、重要インフラのサイバーセキュリティ対策が進んでおり、サイバーセキュリティ戦略本部では、重要インフラのすべての分野において、2018年度までにリスク評価を実施する方針です。また、情報共有体制の構築、人材育成、国際連携の推進といった取り組みも行われています。

奥家氏は、「サイバーセキュリティにおいて、身を守るためにもっとも有効な手段が情報共有である」とした上で、来場者に対して「あなたの会社がファースト・ターゲットとして攻撃を受けた際には、リスクを最小限に抑えこんだ上で、被害を拡大しないために少しでも早く通報してほしい。情報共有してほしい」と訴えました。

講演の終盤には、経済産業省とIPAによって策定された、「サイバーセキュリティ経営ガイドライン」が紹介されました。
同ガイドラインでは、経営者に対して、

という3原則を求めるとともに、「経営者がCISO等に指示すべき10の重要項目」を定めています。

なお、「サイバーセキュリティ経営ガイドライン」は大企業、およびセキュリティ対策が進んでいる中小企業向けのものです。これからセキュリティ対策に着手する中小企業や小規模事業者向けとしては、「中小企業の情報セキュリティ対策ガイドライン」が用意されています。

ほかにも中小企業なら、セキュリティ対策に取り組むことを自己宣言することで、サイバー保険の保険料割引などを受けられる「SECURITY ACTION」の利用も可能です。

奥家氏によれば、アメリカでは近年、サイバー攻撃がサプライチェーンや株価にも影響を与えるとして、経営者のサイバーセキュリティへの意識が急激に高まっているといいます。先に紹介した「サイバーセキュリティ経営ガイドライン」が定められたことからも明らかなように、いまやサイバーセキュリティは重要な経営課題のひとつといえるでしょう。

一方で、奥家氏が「日本の企業には、経営者、システムマネジメント系の人たち、ビジネス戦略マネジメント系の人たちの3者が経営をサポートする、その三角形構造がまだできていない」と指摘するように、日本における経営者のサイバーセキュリティに対する意識は、現状では必ずしも十分とはいえません。

奥家氏は、「経営の観点から、サイバーセキュリティをどう捉えるかについて考えてほしい」と述べるとともに、サイバーセキュリティにおける経営者の役割を「入口対策が突破された際に、誰かのせいにするのではなく、被害を最小限に抑えた上で、できるだけ早くビジネスを復帰させる方法を考えること」だと定義しました。