海外現法にセキュリティの
ガバナンスが利いていない

――日本企業の取り組みは海外諸国に比べると遅れているようですが。

太田 その背景には各国の事情もあるでしょう。米国・欧州の地域によっては「軍事」面でサイバー攻撃を受けることが常態化し、国家システムや重要インフラを担う企業をそうした攻撃からどう守るかということが重要課題でした。また相対的に欧州諸国では個人のアイデンティティを守ることが重要視されてきました。いずれにしても、こうした事情から日本企業と比較すると、ある程度主体的な意思を持ってサイバーセキュリティの強化を図る企業の割合は高いように感じます。

市川博久
アクセンチュア 執行役員
セキュリティコンサルティング本部
統括本部長

新卒でアクセンチュアに入社。大手企業の基幹系システム導入プロジェクト等に従事し、ITインフラ領域でキャリアを積む。2007年にインフラアウトソーシング事業を新規に立ち上げ、その後インフラストラクチャーサービス統括に就任。2016年クラウド推進事業本部の統括を経て、2017年から現職。また2010年より、アクセンチュアの企業市民活動の一つである「若者の就業力・起業力強化チーム」の責任者も務めている。

市川 一方、日本では軍事エリートと民間エリートの人材還流は限定的ですし、グローバル市場に商品やサービスを送り出す企業に勤務していても、治安が良くて敵意を感じにくい日本の中で毎日を過ごす限りはリアリティを感じにくい。ですから、セキュリティの強化は多数の投資事項と比較して優先順位はどうしても下がりがちかもしれません。

 私が危機感を感じているのは、海外拠点に対してセキュリティのガバナンスが行きわたっていない企業が多いことです。本社を最新装備で固めていても、現地法人では何年も前のOS(基本ソフト)の致命的なセキュリティホールが埋められていない場合もあります。とくにアジア地域の現法の対策が遅れています。かつて猛威を振るったランサムウェア「WannaCry(ワナクライ)」の対策すら、まだできていないところもあります。そうなると、攻撃者はやすやすと内部に侵入できてしまう。実際、そこから日本の本社にアクセスされ、機密情報が盗まれている例もあります。

――サイバー攻撃に対する備えだけでなく、ビジネスでもセキュリティの重要性が高まっていますね。

太田 はい。例えば、越境M&Aの引き渡しの際のTSA(Transition Service Agreement)にセキュリティに関する基準が設けられる事例が増えました。これからはビジネスの必要条件として自社のセキュリティ構造を説明する場面がますます増えてくるでしょう。セキュリティのレベルが海外企業に比べて著しく低いと、ビジネスのパートナーとみなされなくなるという危機感を持つべきです。

リスク管理の優先順位を決める
「セキュリティ企画機能」

――では、サイバーセキュリティの強化はどのように進めるべきでしょうか。

太田 サイバーセキュリティに対してCEOや経営陣が今果たすべき役割は、「セキュリティ企画機能」とそれを担える人材を育成することです。デジタル時代を迎えた今、セキュリティ企画機能を持たない企業は取り残されていくでしょう。前述した越境M&Aでも日本企業のセキュリティ企画機能の弱さが露呈しています。どこまでセキュリティ整備がなされた状態で受け渡してもらうのか、そういう話を具体的にできない企業は海外企業と噛み合っていない状況も目にします。
 セキュリティ企画機能とは、理論的にセキュリティリスクのシナリオを棚卸しして対処すべきスコープ(範囲)を定め、そのインパクトを定量化して、いくら投資してどこまで備えるかを判断することです。

 具体的な手順は3つ。第1ステップは、変わりゆく事業展開において守るべき情報・テクノロジー資産の可視化です。第2ステップは、それらがどのような手法で攻撃されることによって、情報管理の三原則(機密性・完全性・可用性)からどのような大きさのダメージが発生するかを定量化して整理すること。すべてのサイバー攻撃の可能性に対して投資をすることはできないため、発生するダメージを経営が納得するロジックで定量化することで、対策の優先順位を決める必要があります。そして第3ステップは、自社でやることと他社を使ってやることの振り分けで、付加価値の高い業務を自社に残すのが基本です。

市川 インパクトの定量化に関しては、過去の他社事例から試算らしき資料が経営レベルに報告されているケースも目にします。例えば、「売上高1000億円規模の企業で、あるインシデントが発生して工場の操業が5日間ストップし、20億円の損失が出た」といったような類似事例ですね。しかし、自社に置き換えるとダメージは本当に発生し得るのか? をきちんとロジックをもってシミュレーションし、対策のROIを報告している企業は意外に少ない。これがない中、昨年度に比較して今年度はどのリスクに対していくらの予算を立てるか、というような決め方をしていないでしょうか。これでは適切な経営判断にはなっていないわけですね。