%{FACEBOOKSCRIPT}%
  1. HOME
  2. サイバーセキュリティお役立ち情報
  3. 記事一覧
  4. セキュリティのデザイン:経営層にサイバーセキュリティの重要性を理解してもらうには?

セキュリティのデザイン:経営層にサイバーセキュリティの重要性を理解してもらうには?

  • LINEで送る
  • このエントリーをはてなブックマークに追加
セキュリティのデザイン:経営層にサイバーセキュリティの重要性を理解してもらうには?

熱海 徹@SOMPO CYBER SECURITY | 2022年12月27日

「セキュリティのデザイン」と称し、セキュリティに関する課題解決を目的とした考え方を紹介してきた本連載コラムですが、今回で10本目を迎えました。さまざまなテーマを取り上げてきましたが、今回は「経営層への働きかけ」という多くの現場の担当者の皆さんが抱えている課題を取り上げたいと思います。

前職(NHK)での話になりますので、7,8年前でしょうか。サイバーセキュリティ対策が本格的になるにつれて経営層に向けた説明で苦労したことを覚えています。特にサイバーインシデントについては他社との情報共有があまりできずに、自力で対策を行うことが常識だったことも影響しています。こうした「一人で抱え込む」「独自路線」的な対応が、あまりお勧めできる対応でなかったことは今でこそ当たり前ですが、当時はそれを知る由もありませんでした。経営層も同様で、対策をどこまで行うべきなのか、被害を受けた場合の対応の仕方がわからないというと不安が先にあり、お互いの理解が深まらなかったということかと思います。この経営層の理解と協力を得るという問題は、あれから7年たった2022年でも根強く重要課題として挙げられています。

現場の担当者はセキュリティ対策に前向きでも、経営層の理解を得られず、対策が思ったように進んでいない企業が多いと聞きます。それぞれの組織の事情はありますが、どのようにしたら経営層に理解してもらえるのか、真剣に考えてみました。

今回もセキュリティのデザインの重要性をお伝えできればと思いますので、ぜひ最後までお付き合いください。

はじめに

サイバーセキュリティ対策にかかる投資は企業にとって負担となることは間違いありません。そのため、対策を進めていくためには、経営層の理解と判断が必須となります。メディアで取り上げられるサイバー攻撃の被害情報を受け、サイバーセキュリティ対策に乗り出す経営層は少なくありません。しかし、またその反対に軽視して放置状態にある企業や後回しにしている企業も少なくありません。その背景には、自分の会社は被害には遭わないと思って、他人事のように感じていることや、売上向上にも業務効率向上にも直結しないサイバーセキュリティ対策に対し、予算をかける必要性を強くは感じていないという背景があります。

サイバーセキュリティの重要性を経営層に理解してもらうのが簡単ではないことは皆さんご存じの通りです。セキュリティ担当者に共通する課題をどうしたらいいか、重大なテーマとして考えなければなりません。

経営のためのサイバーセキュリティに関する基本的な考え方

まずは、経営層に対し、サイバーセキュリティに関する基本的な考え方を理解してもらうことから始める必要があります。セキュリティ担当者であれば一度は聞いた事があるかもしれませんが、基本的な考え方は、内閣官房 内閣サイバーセキュリティセンター「企業経営のためのサイバーセキュリティの考え方の策定について」が公開している、サイバーセキュリティに対するふたつの基本的認識が参考になります。これを有効に活用しましょう。

①サイバーセキュリティは、利益を生み出し、ビジネスモデルを革新するものであり、新しい製品やサービスを創造するための戦略の一環として考えていく必要がある。

②全てがつながる社会において、サイバーセキュリティに取り組むことは、社会的な要求・要請であり、自社のみならず社会全体の発展にも寄与することとなる。

※「企業経営のためのサイバーセキュリティの考え方の策定について」より引用

①の考えについて

情報技術の進歩が激しい現代において、IoTやAIなどの情報技術を積極的に活用することは、企業の競争力の源泉として優位性を築くとともに長期的な成長戦略にも繋がる。しかし、そうした情報技術もサイバーセキュリティなくしては成り立たない。情報技術が進化すればするほど、サイバーセキュリティの重要性は増す。サイバーセキュリティは、情報技術を活用するためのインフラであり、対策が確立されていなければ、技術の導入自体が困難となる。つまり、サイバーセキュリティへの投資は、情報技術への投資と同じく、前向きな成長を促す投資である。

②の考えについて

インターネットの普及は、社会における企業と企業、企業と人、そして社会全体をも互いにつながる社会をもたらす。そのうちの一要素となる企業において、情報セキュリティ対策を進めることは社会からの要求・要請であり、社会的な使命とみなすことができる。そして、社会全体の発展に寄与するということを、経営層は理解しなければならない。逆に言えば、企業のサイバー攻撃被害は、社会全体へと広がる可能性があり、害とみなされることすらあるということだ。社会・地域の中で存続を図る企業が、自社の利益のみを優先してサイバーセキュリティ対策をないがしろにすることは、決して許されることではない。

つまり、経営者は、セキュリティ対策を自社の問題としてだけでなく、社会全体の問題としてとらえ、社会全体に影響を及ぼしかねないことを理解する必要があります。この基本的な考えを理解してもらうことは必要最低限のことなのです。

経営層が認識すべきサイバーセキュリティの3原則

さらには、経営層はサイバーセキュリティに関する基本的な考え方について理解し、より具体的な行動に移すことが求められています。ただやみくもに対策をすればいいというわけではありません。適切な順序で、計画的かつ組織的にサイバーセキュリティ対策をとることが必要になります。実際にこの部分でギブアップする経営者も多くいると思います。

ですので、担当者と一緒になって会社としての基本方針を決めていくことが重要です。

サイバーセキュリティ対策を行動に移すにあたっては、IPAの「サイバーセキュリティ経営ガイドライン」が参考になります。この中で、経営者が認識すべきサイバーセキュリティの3原則が挙げられています。この3原則に基づき、「サイバーセキュリティ経営の重要10項目」を確実に実行に移して行くことが求められています。是非、参考にし、経営層への働きかけに活用してほしいと思います。

経営層にサイバーセキュリティの重要性を理解してもらうための手段

では、こうしたガイドラインにより、基本的な考え方を理解してもらった後、実際に経営層に対し、どのようにサイバーセキュリティの重要性を理解してもらえばよいのか考えてみましょう。

一つ目として、同業他社における事故事例を説明し、不安をあおる手法があります。

相次ぐランサムウェアなど、サイバー犯罪の被害に関するメディアからの情報は、一定の説得力があるのではないかと考えます。大きく報道されたインシデントが経営層を動かすことは間違いないでしょう。経営層というのは同じ業界に関連する動向や報道には常に注目しており、これを利用し、サイバーインシデントに関する報道をまとめて報告書にするのもひとつかと思います。

繰り返し情報をインプットすることが経営層を動かすきっかけになる可能性があります。

と、言ってもTV局にお願いはできませんが。

規模が小さな企業の場合、もともとの投資余力が小さい上に、自社には漏えいしても価値がある情報資産はないと考える経営層もいて、サイバー犯罪の被害に遭う可能性はないと信じているところに問題があります。

このような経営層は実際に非常に多くいると思います。サイバーセキュリティ対策に目を向けさせ、実際に投資にまで踏み切ってもらうのは、至難の業ということです。色んな所で、前向きの投資と言っていますが、その理解ができていないため、従来とは異なるアプローチが求められるようになっています。

経営層がセキュリティに関心を持つには

ガイドラインによる基本的な考え方、さらには同業他社関連の動向や報道、さらにもう一声、頑張ってみましょう。

会社にとって重要な情報資産が何なのか、守るべき資産の優先順位をまず考えます。

経営層がサイバーセキュリティに関心を持つためには、重要な情報やシステムがサイバー攻撃の被害に遭う状況をシミュレーションし、被害や損失にまで落とし込んで説明することも有効です。業務を支えるデジタル技術が止まればどれだけ被害が出るのか、情報漏洩によるイメージダウン、訴訟の可能性など、危機感を持ってもらうきっかけを作りましょう。

ときには、サイバー被害の状況を自然災害時に例える事も有効です。よく知られている災害になぞらえて、想定できる損失を示せば危機感の意識醸成に繋がると考えます。

前向きなサイバーセキュリティ対策投資をするために

ITの進化は今後も衰えることなく続いていき、ITの活用度合いが競争力の源泉となるでしょう。一方で、ITの活用は、サイバーセキュリティ対策の基盤が確立されて初めて推進できるもの、と認識しなければいけません。近年では従来の盗まれるものがなければ対策が不要という言い訳は通用しなくなってきています。簡単に攻撃されてしまう会社の信用問題とも受け取られかねないということです。一度失墜した信頼の回復には時間がかかり、あの時、対策をしておけば、と必ず後悔が残ると言われています。そのためにはサイバーセキュリティ対策は前向きの投資と考えるべきなのです。

本日のまとめ

経営層にサイバーセキュリティの重要性を理解してもらうには、サイバーセキュリティ対策を講じないことによるリスクを訴求するだけではなく、対策を講じることでのメリットも訴求し、双方向からの説明が効果的であることは間違いありません。特にテレワークが企業のスタンダードワークスタイルになりつつあり、重要情報が分散され、リスクが増えていることは皆さんもご存じの通りで、数年前にはなかったリスクです。リモート環境における対策も必須です。

結論ですが、経営層の理解促進には、会社全体でセキュリティ対策に取組む習慣をつけ、どんな些細な出来事でもでも経営層には定期的な報告を行って欲しいと思います。まずは、同業他社で起きているインシデントの例と併せて、自社内で起きていることの報告をメインに考えてみてはどうでしょうか。経営者との情報共有を積極的かつこまめに行ってみてください。

 

熱海 徹 セキュリティのデザイン過去記事一覧

熱海 徹 プロフィール

著者情報
熱海 徹(あつみ とおる)
SOMPO CYBER SECURITY

  • 1978年4月 日本放送協会入局 システム開発、スタジオ整備、スポーツ番組に従事
  • 2013年6月 本部・情報システム局にてサイバーセキュリティ対策グループ統括
  • 2016年6月 内閣府 SIP推進委員、セキュリティ人材育成WS委員
  • 2016年7月 一般社団法人ICT-ISAC-JAPAN事務局次長
  • 世界的スポーツイベントに向けて放送業界セキュリティ対策に従事
  • サイバーセキュリティ対策推進や経営層に向けたセキュリティ対応策について数多くのセミナー・イベントに登壇
  • 2018年9月 SOMPOリスクマネジメント株式会社に入社
  • サイバーセキュリティ事業のサービスに関する研究開発、技術評価、サービス企画開発等の統括、セミナー・イベントに登壇
  • 2019年7月 経済産業省 産業サイバーセキュリティ研究会 有識者委員
 
  • LINEで送る
  • このエントリーをはてなブックマークに追加