【特集】 国が企業の経営戦略と位置付けた「サイバー攻撃対策」
2017/05/15
ITは、現代の企業経営において欠かすことのできない重要な経営基盤。業務の効率化はもちろん、最近では経営・業務・ITを融合させて企業価値の最大化を目指す「IT経営」に取り組んでいる経営者も増えつつある。
その一方で、IT時代のビジネスを脅かす悪質な行為が大きな問題となっている。企業の個人情報や重要な技術情報などを狙ったサイバー攻撃だ。
経済産業省によると、日本企業へのサイバー攻撃は2 011年に7722件だったが、2013年には約4倍の2万9746件に急増。その手口や技術は巧妙化しており、不特定多数を無差別に攻撃する「無差別攻撃」だけでなく、特定の組織や人から機密情報を窃取・改ざんしたり情報システムを停止等の被害を発生させる「標的型攻撃メール」、さらに侵入の痕跡を残さない「マルウェア」などが出現するなど、大きな脅威となっている。
こうした状況に対し、国としても2014年11月に「サイバーセキュリティ基本法」を成立させ、2015年1月には「内閣サイバーセキュリティセンター(NISC)」を設置するなど、国家レベルのリスクとしてサイバー攻撃への防御体制の強化を進めているが、依然としてサイバー攻撃の被害は拡大の一途を辿っている。
記憶に新しいところでは、2015年5月、日本年金機構が不審メールによる標的型攻撃メールを受け、年金加入者の個人情報約125万件が流出した。そのほかにも、企業のホームページやサーバへの不正アクセスにより、顧客情報やクレジットカード情報が流出する事件が相次いでいる。
●経営者向けにガイドラインを公表
もはや、企業にとってサイバー攻撃は避けられないリスクとなり、経済産業省は2015年12月、独立行政法人情報処理推進機構(IPA)とともに、経営者がサイバー攻撃から企業を守るための理念や行動をまとめた「サイバーセキュリティ経営ガイドライン」を公表。国として経営者に向けてサイバーセキュリティ対策にかかわる指針を打ち出したのは初めてのことだ。
同ガイドラインは、企業や組織の経営者にサイバーセキュリティへの取り組みを促す目的で、経営者が認識すべき「3原則」と、経営者が情報セキュリティ担当者に指示すべき「重要10項目」で構成されている。
さらに2016年12月には改訂版を公表し、「経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である」との言葉が明記された。まさに、サイバー攻撃に対するセキュリティ投資は事業を継続させるための「企業戦略」であり、どの程度まで防衛力を向上させるべきか、企業のトップとして経営判断が求められているわけだ。
とはいえ、サイバー攻撃も進化し続けており、企業の防衛力を高めても100%防ぐことは難しいといえる。そこで、アメリカを中心にサイバー攻撃などで受けた損害を補償する「サイバー保険」が人気を集めているが、最近では日本の損害保険会社も「サイバー保険」の商品開発に力を入れている。例えば、損保ジャパン日本興亜の「サイバー保険」は、企業のサイバーセキュリティ対策を支援するため、情報漏えいによる損害賠償金や利益損害、営業継続費用など、サイバー攻撃による被害を幅広く補償。さらに、情報漏えい等が発生した場合、被害を最小限に食い止めるため、企業には迅速な原因調査や被害拡大を防止する緊急対応が求められるが、これらの支援を行う専門業者と連携し、円滑な復旧を支援するサービスを「サイバー保険」に加入したすべての契約者に提供している。
また、損保ジャパン日本興亜の関連会社であるSOMPOリスケアマネジメント㈱では、サイバー攻撃に対する企業としての適切な対策の検討・実施・維持していくための活動等を支援するコンサルティングサービスを提供している。
サイバー攻撃によって、純利益の半分以上を失うような損害を受けた企業も存在する。「うちは大丈夫」だと思っていても、実際にはサイバー攻撃を受けたことに気づいていないだけで、すでにウィルスが侵入していることも十分考えられる。2020年には東京オリンピック・パラリンピックを控えているだけに、国としてもサイバーセキュリティをより強化していく方針だ。企業においても、経営者が主体となってサイバーセキュリティ対策という「経営問題」に向き合うことが喫緊の課題といえる。
関与先企業がサイバー攻撃を受けないためにも、また、多くの顧客情報を有している税理士事務所が情報漏えいなどの被害に遭わないためにも、まずは経済産業省の「サイバーセキュリティ経営ガイドライン」などをチェックしておきたい。
経営者が認識する必要がある「3原則」
1.ビジネス展開や企業内の生産性の向上のためにITサービス等の提供やITを利活用する機会は増加傾向にあり、サイバー攻撃が避けられないリスクとなっている現状において、経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である。このため、サイバー攻撃のリスクをどの程度受容するのか、セキュリティ投資をどこまでやるのか、経営者がリーダーシップをとって対策を推進しなければ、企業に影響を与えるリスクが見過ごされてしまう。
2.子会社で発生した問題はもちろんのこと、自社から生産の委託先などの外部に提供した情報がサイバー攻撃により流出してしまうことも大きなリスク要因となる。このため、自社のみならず、系列企業やサプライチェーンのビジネスパートナー等を含めたセキュリティ対策が必要である。
3.ステークホルダー(顧客や株主等)の信頼感を高めるとともに、サイバー攻撃を受けた場合の不信感を抑えるため、平時からのセキュリティ対策に関する情報開示など、関係者との適切なコミュニケーションが必要である。