経団連は4月23日、サイバーセキュリティ委員会サイバーセキュリティ強化ワーキング・グループ(梶浦敏範主査)をオンラインで開催し、同ワーキング・グループに参加している3社から、サイバーセキュリティ強化に向けた取り組みや次期サイバーセキュリティ戦略への期待等を聴いた。説明の概要は次のとおり。
■ サプライチェーン全体でのセキュリティ意識の向上(東京海上日動火災保険)
当社では、日々高度化・複雑化しているサイバー攻撃の状況を踏まえ、2015年2月にサイバー攻撃による事業停止時の逸失利益や、取引先への損害賠償等の補償を目的とするサイバーリスク保険をリリースした。
また、サイバーセキュリティに関するポータルサイトである「Tokio Cyber Port」を運営し、サイバーセキュリティ関連記事の紹介、サイバー攻撃等の緊急時に利用できる無料の電話相談等のサービスを提供している。
これまでの取り組みからみえてきた課題として、サプライチェーン全体でのセキュリティの強化が挙げられる。大阪の中小企業30社を対象にした調査では、全社で不正な通信が検知された。中小企業を含めたサプライチェーン全体でサイバー攻撃のリスクに対処する必要がある。しかし、経営資源の制約によって、対処できない中小企業も多いため、政府には中小企業のサイバーセキュリティの強化へのさらなる支援をお願いしたい。
■ サイバー攻撃情報の国際的な共有体制の構築(日本マイクロソフト)
18年に米マイクロソフトのブラッド・スミス社長がサイバーセキュリティ技術協定原則(Cybersecurity Tech Accord Principles)を作成した。同原則は、サイバー攻撃からの顧客保護やセキュリティ対策の支援などの4つから成っている。ここ数年で経団連会員企業も含めた世界中の百数十社もの企業・団体が同原則を遵守している。
サイバー攻撃の情報共有のための国際連携が今後の課題と認識している。20年末に起こった米国のサイバーセキュリティ企業SolarWindsへのサイバー攻撃など、近年、増加傾向にある国家の関与が疑われるサイバー攻撃に対処するため、サイバー攻撃に関する有益な情報やテクノロジーを共有するための国際連携が求められる。
■ 各ビジネスフローのセキュリティ強化体制と人材育成(日本電気)
これからのサイバーセキュリティは、クローズドな世界は安全であるというペリメタモデル(注1)では対応できないため、ゼロトラスト(注2)とサイバーハイジーン(注3)がDX(デジタルトランスフォーメーション)のベースになる。ゼロトラストのコアとなる考え方として、サイバーセキュリティを企画・設計段階から確保するセキュリティ・バイ・デザインがある。この考え方のもと、国内外の政府セキュリティ管理基準(経済産業省のサイバーセキュリティ経営ガイドラインや米国のNIST SP800-53など)を活用しつつ、当社では自ら設定したセキュリティ課題に取り組む体制を整えている。これを支える人材育成の取り組みとして、タレントマネジメントを実践している。採用活動にセキュリティ専門人材枠を設置するとともに、採用後にはトップ人材育成プログラム、スキルアップのための訓練場演習、社内の人材発掘のための競技場演習といった独自の教育プログラムを実施している。
取り組むべき課題はプラスセキュリティ人材育成の強化である。特定の専門分野だけでなく、セキュリティをも熟知しているプラスセキュリティ人材の確保のため、予算配分だけでなく、産学官連携で人材育成を強化すべきである。
(注1)ペリメタモデル=守るべき情報は境界の内側、脅威は境界の外側にあるとの認識に立ち、境界内部に攻撃者を侵入させないとする考え方
(注2)ゼロトラスト=データへのいかなるアクセスも信頼しないという前提でセキュリティ対策を行う考え方
(注3)サイバーハイジーン=組織のすべての端末の脆弱性をリアルタイムで可視化・対処する、平時からのセキュリティ対策
【産業技術本部】