経団連は9月17日、サイバーセキュリティ委員会サイバーセキュリティ強化ワーキング・グループ(梶浦敏範主査)をオンラインで開催し、日本電信電話(NTT)の横浜信一CISO(最高情報セキュリティ責任者)から、企業におけるサイバーセキュリティ情報の開示と共有について説明を聴くとともに意見交換を行った。概要は次のとおり。
■ NTTのサイバーセキュリティに関する情報開示
NTTでは、サイバーセキュリティは中期経営計画を実現するために存在しているものという認識のもと、アナリストレポートなどでサイバーセキュリティに関するミッション、ビジョンおよび戦略を公表している。
■ サイバーセキュリティの成熟度評価
成熟度評価を社内で活用すれば、漏れなくセキュリティ対策が講じられているかの確認、現状レベルの把握、過去との比較による向上度合いの確認、目指すべき姿とのギャップの理解、リソース分配の判断に活かすなど、有意義な結果をもたらすであろう。その際、サイバーセキュリティはビジネスに伴う多様なリスクの一部であるから、取り組みもリスクベースで判断すべきであり、個社の事業戦略に応じ、重点や求められるレベルが異なる点に注意が必要である。
■ 取り組みに関する情報開示の功罪
サイバーセキュリティの取り組みについて情報を開示することで、「『成熟度評価ツールを用いた評価を開示・共有』→『市場の高評価により企業価値が向上』→『各社が切磋琢磨しながら、サイバーセキュリティに積極的に取り組む』」という好循環を期待するだろう。しかしながら、各社の業種や戦略等により重点や求められるレベルが異なるにもかかわらず、成熟度評価ツールを用いた評価を開示すれば、業種や個社事情を問わず横一線の評価が行われることになり、リスクベースではなく、リストベースのマネジメント(注)になってしまう点を懸念している。
■ 伝えたいこと
経営方針を実現させるための手段の1つとして、サイバーセキュリティへの取り組み姿勢や重点方針等を経営戦略の一部として示すことは非常に重要である。一方で、共通の評価ツールの利用については、社内での活用は有効であるものの、各社の評価結果を対外的に開示することは一律のセキュリティ対策を各社に強いることとなり、リストベースのマネジメントを助長する懸念がある。企業のサイバーセキュリティへの取り組みは各社の事業形態や戦略によって異なるため、各社の状況に応じて、リスクベースのマネジメントをすべきである。
情報の開示・共有範囲については、社会全体のセキュリティレベルの底上げを目的として「最低限の基本動作」を行っているかどうか、に限定する方がよいだろう。
◇◇◇
質疑応答では、講演者の意見に賛同する声が相次いだ。
(注)定められたことを羅列し、1つ1つ残らず対応することでよしとする手法
【産業技術本部】