経団連は2月5日、大阪市内で今年度4回目となる「サイバーセキュリティ経営トップセミナー」を開催し、関西の企業を中心に経営トップら約180名が出席した。米国家安全保障局(NSA)元長官のキース・アレクサンダー氏ら日米のサイバーセキュリティ専門家による講演を聞いた。概要は次のとおり。
上杉謙二・日本サイバーセキュリティ・イノベーション委員会(JCIC)主任研究員
■ サイバーリスクの数値化モデル
JCICでは、サイバーリスクを経営者にわかりやすく伝えるために、リスクの可視化に取り組んでいる。インシデント発生から一定期間経過した後の当該企業の株価ならびに決算における純利益の変動を調査したところ、インシデント発生前に比べ、株価は約10%下落、純利益は約21%減少していた。前者は風評被害、後者は事故対策費用等が影響していると考えられる。経営者にリスクをわかりやすく伝えるためには、経営の共通言語である「金額」を用いて議論することが効果的である。
武智洋・サイバーリスク情報センター代表理事
■ 企業における人材類型と育成
サイバーリスク情報センターには、重要インフラ企業を中心に40社以上のユーザー企業が参加しており、人材類型・育成にかかわるさまざまな取り組みを行っている。その一環として、海外のセキュリティ人材の標準との整合性も念頭に置きつつセキュリティにかかわる30種の人材定義を行い、どの業務をインソースで行うか、アウトソースするかを定めた「セキュリティオペレーションアウトソーシングガイド」を策定した。今後、世界的にセキュリティ人材の不足が見込まれるなか、インソースとアウトソースのバランスによるリソースの確保が重要となる。
キース・アレクサンダー・アイアンネット・サイバーセキュリティ社CEO
(IPA産業サイバーセキュリティセンター・アドバイザー)
技術は目覚ましい速度で進歩しており、ネットワークにつながるアプリ、デバイス、データ量が飛躍的に増大するなかで、セキュリティ上の重大な懸念が生じている。また、国家によるサイバー攻撃の事例が増えるなど、サイバーが国家の力として用いられる時代になっている。
■ 情報共有
ネットワークを防衛するため、脅威情報を素早く共有しなければならない。攻撃の前に何が起きていたのか、敵がどういった行動をしていたのかといった情報の共有のあり方について、官民で考える必要がある。そういった「集団防衛」が政府にとっても企業にとっても重要となる。
■ 人材への投資
技術的な対策も重要であるが、最も重要なのは人材への投資である。なかでもCISO(Chief Information Security Officer、最高情報セキュリティ責任者)は、サイバー防衛において中心的な役割を果たす存在であり、技術的な知識だけでなく、会社の中核事業や資産についても理解しておく必要がある。また、一般的な用語を用いて経営トップにわかりやすく説明する能力も必要とされる。
奥家敏和・経済産業省商務情報政策局サイバーセキュリティ課長
経済産業省では、セキュリティに関するさまざまな施策を実施している。取り組みの一部を紹介する。
■ セキュリティ対策自己宣言「SECURITY ACTION」
中小企業自らが、中小企業向けガイドラインに沿ったセキュリティ対策に取り組むことを自己宣言する制度である。同宣言はIT導入補助金の申請における必須要件であり、すでに6万7000社を超える企業が宣言を実施済みである。
■ サイバーセキュリティお助け隊
中小企業のセキュリティトラブル対応を支援する「サイバーセキュリティお助け隊」を中核とした支援体制構築のための実証事業を立ち上げる。損害保険会社に自動車事故の際と同様の相談窓口機能を担ってもらい、窓口で対応困難な場合は地域のセキュリティベンダーが対応する仕組みとなっている。
【産業技術本部】