経団連は１０月３１日、東京・大手町の経団連会館で４月１３日、９月２５日に続いて３回目となる「サイバーセキュリティ経営トップセミナー」を開催し、経営トップら約２００名が出席した。

米国家安全保障局（ＮＳＡ）元長官のキース・アレクサンダー氏ら米国のサイバーセキュリティ専門家から、米国金融業界の取り組みや、サイバーインシデント対応において経営者が果たすべき役割について講演を聞いた。講演の概要は次のとおり。

ベンジャミン・フラットガード氏
ＪＰモルガン・チェース社エグゼクティブ・ディレクター

フラットガード氏

■ ＪＰモルガン・チェース社の取り組み

サイバーセキュリティに対し、２０１６年度に約５億ドル、１７年度に約６億ドルを投資しており、今後さらに増える見通しとなっている。当社の取り組みをいくつか紹介する。

1. 組織体制
   以前は、国ごとにサイバーセキュリティに関する部署があり、それぞれが権限を有していたが、それらを一元化し、イニシアティブを発揮しやすいようにした。

2. 侵入テスト
   外部のベンダーも活用してネットワークへの侵入テストを実施し、脆弱性を評価している。顧客の取引にかかわる部分等、ビジネス上のインパクトが大きい部分について重点的に実施している。

3. 職員への訓練・意識向上
   サイバー攻撃の新たな手口やリスクを周知するために訓練を実施しているほか、職員に対し認証を与えるサイバーアカデミーというオンライン訓練のプログラムを用意している。

■ 米国金融業界の取り組み

個社としてできることには限界があるため、業界全体で以下のような新たな取り組みで連携している。

1. ＦＳＡＲＣ（Financial Systemic Analysis and Resilience Center）
   規制当局によって指定されているシステム上重要な金融機関が集まり、お互い情報をリアルタイムに共有し、個社ではなく集団でブロッキング等の対策をとっている。また、共同で米国政府への提言も行う。

2. ＣＲ²（Coalition to Reduce Cyber Risk）
   世界中でデジタルサービス・取引が増えるなか、サイバーセキュリティは必須となっている。ＣＲ²はさまざまな業種・国の関係者が集まってアイデア、脅威、懸念等を共有し、リスク管理について相互運用可能なアプローチをとることで、長期的な経済成長をサポートすることを目的としている。

キース・アレクサンダー氏
アイアンネット・サイバーセキュリティ社ＣＥＯ
（ＩＰＡ産業サイバーセキュリティセンター・アドバイザー）

アレクサンダー氏

■ 技術革命

技術はめまぐるしく進歩しており、さまざまなデバイスがネットワークにつながっている。２０１８年に生み出されるデータは過去５０００年で生み出されたデータの合計よりも多いといわれている。ヘルスケアに関して、日本では医療費の問題が大きく取りあげられているが、ゲノム情報を用いてがんの治療薬をつくる試みもあり、たくさんのデータがヘルスケアに活用されている。これらはチャンスであると同時に、危険もはらんでいる。

■ 包括的なサイバーセキュリティ対策

1. 情報共有
   米国では１５年にサイバーセキュリティ情報共有法が法制化され、官民での情報共有体制が整備された。東京オリンピック・パラリンピックを控えている日本にとっても迅速な官民の情報共有は非常に重要である。

2. 中小企業のサイバーセキュリティ対策
   中小企業は資金・人材・時間といったリソースが不足しており、リスクを認識していても十分に対策をすることは困難である。クラウドコンピューティング等を活用することで、コストパフォーマンスのよい対策が可能となる。

3. 人材への投資
   最終的にネットワークを守るのは人であり、人材への投資が最も効果的である。その意味で、ＣＩＳＯ（Chief Information Security Officer）はサイバーセキュリティの要である。キーとなるリスクは何か、どういった備えをしているのかをリーダー自身が理解し、何を変えなければならないか、どこへ投資をしなければならないかということを、自らが経営幹部・社員に伝えることができなければならない。

【産業技術本部】