すべてを疑うゼロトラストをベースにセキュリティを設計する。防ぐだけでなく、攻撃を受けた後、いかに迅速に復旧するかが重要。サイバーセキュリティにおいては、さまざまなポイントが指摘されている。なかでも大前提となるのが「経営者が取り組みをリードすること」である。その理由や具体的に経営者が発揮すべきリーダーシップをまとめたのが経済産業省及び独立行政法人情報処理推進機構が策定した「サイバーセキュリティ経営ガイドライン」である。同ガイドが示す3つの原則について経済産業省の上村 昌博氏が解説する。

■デジタル活用が内包するチャンスとリスク

業務の効率化を図る。業務の品質や精度を高める。データを分析して新しい発見をする。新しい顧客体験を創出する──。例を挙げればきりがないほど、現在の企業活動の多くはデジタル技術に強く依存している。デジタル技術の活用は、もはや個々の企業の収益向上だけでなく、社会の経済発展を大きく左右する取り組みといえよう。

しかし、デジタル活用はチャンスだけでなく大きなリスクも内包している。サイバー攻撃による被害は、その1つである。

サイバー攻撃は、年々、巧妙化、複雑化を遂げており、被害の報告が相次いでいる。情報漏えい、金銭の搾取だけでなく、業務停止に追い込まれるような事態ともなれば、単なる損失では片付けられない。企業の提供価値そのものの毀損である。

以前は、クローズドな環境であることから攻撃を受けることが少なかった工場の制御システムなどOT（Operation Technology）の領域も、センサーやIoT機器の導入などによってインターネットにつながるようになっており、サイバー攻撃の脅威が顕在化。実際に製造業の工場が操業停止に追い込まれる被害も発生している。

「影響範囲が広いことも、近年のサイバー攻撃の特徴です。攻撃を受けた組織だけでなく、そこから、その組織とつながりを持つ組織へ。バリューチェーン、サプライチェーンを構成するあらゆる組織に攻撃の影響は広がっていきます。代表的なケースがサプライチェーン攻撃による被害です。この手法では、攻撃者は、サプライチェーンを構成する企業の中からセキュリティ対策が弱い企業を狙って侵入し、そこから標的とする企業に到達しようとします。直接の標的ではなくともあらゆる企業が攻撃の被害者となる可能性があるのです」と経済産業省 サイバーセキュリティ・情報化審議官 上村 昌博氏は言う。

■セキュリティ対策を主導するのは経営者の責務

では、企業がサイバー攻撃による被害の影響を極小化していくには、どのような取り組みが求められるのか。上村氏は「IT部門やセキュリティ関連部門だけに任せきりにするのではなく、事業部門をはじめ企業のあらゆる部門が連携し、対策を推進していくことが必要」と言う。

そのために重要なのが経営者の積極的な関与だ。「全社を横断的に連携させるわけですから、経営者のリーダーシップが必要不可欠です。経営者自らが経営リスクの1つとしてサイバーセキュリティに強い問題意識を持ち、そのリーダーシップのもとで、サイバーセキュリティを包含するエンタープライズリスクマネジメントを実践していくことが強く求められています」（上村氏）。

経済産業省及び独立行政法人情報処理推進機構が2015年に「サイバーセキュリティ経営ガイドライン」を策定したのも、このような考え方を広く浸透させるためだ。

■ガイドラインが示す3つの原則

2023年の3月には、ver3.0への改訂が行われたが、サイバーセキュリティ経営ガイドラインには、経営者が認識すべき3原則が示されている。

まず経営者が認識すべき3原則の1つ目は「経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要」ということだ。

冒頭でも述べたが、社内外でのオンライン・コミュニケーションの進展、IoT デバイスの活用、制御システムからのデータ取得やリモート管理、そしてDXの推進など、企業活動におけるデジタル技術への依存度は、ますます高まっている。当然、サイバー攻撃が企業活動に与えるダメージの深刻さも、その重要性に比例して高まる。情報漏えいや事業継続性が損なわれるようなインシデントが起こった際に、迅速かつ適切な対応ができるか否かは企業の命運を分ける。

そのことを踏まえると、現在の企業経営において、サイバーセキュリティ対策はコストや損失を減らすための必要不可欠な投資といえる。バリューチェーンを健全に維持し、持続可能なものにするために、経営者は自身の責務においてリスクを許容水準以下にまで低減しなければならない。

「具体的に経営者は、サイバーセキュリティリスクを自然災害、為替変動や原料価格の変動、地政学的な問題など、多様な経営リスクの1つととらえ、サイバーセキュリティ対策を実施する責任者となるCISO（Chief Information Security Officer）などの担当幹部を任命するとともに、自社の組織や事業におけるリスクを把握し、それに応じた対策の推進を主導する必要があります」と上村氏は述べる。

2つ目の原則は「サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要」ということである。

こちらも前述したが、現在のサイバー攻撃の影響はサプライチェーン全体に及ぶ。部品調達ひとつをとっても、現在のサプライチェーンは、各社のシステムやクラウド、モバイル機器などを通じたデジタルなつながりによって支えられている。そのどこかに対策が不十分な箇所があれば、そこを起点として攻撃が展開され、情報漏えいやサプライチェーンの機能停止に追い込まれることになる。

つまり自社は十分な対策を行っていても、サプライチェーンを構成する企業の中に十分ではない企業があれば、リスクが高まるということ。サプライヤーやシステム管理などを含む委託先など、国内外のあらゆるビジネスパートナーにも目を向けて、サプライチェーン全体を包括した総合的なセキュリティ対策によってリスクを許容水準以下に抑えなければならない。「顧客や社会からの信頼を得るためバリューチェーンを構成する各参画企業にも目を向ける。これも経営者の責務であり、また、バリューチェーンを構成するすべての企業経営者の責務です」と上村氏は言う。

最後の原則は「平時及び緊急時のいずれにおいても、サイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要」ということだ。

日ごろから経営者がCISOやIT部門、セキュリティ関連部門、社外の公的なセキュリティ専門機関、セキュリティ関連企業などと積極的にコミュニケーションを行っていれば、インシデント発生時には、その関係性が、そのまま緊急連絡体制として機能する。「それが迅速な状況把握や報告、ひいては的確な初動対応による被害の極小化、外部関係者への円滑な説明による不要な不信感の高まりの抑制につながります」と上村氏は述べる。

■産学官が一体となってデジタル社会を発展させる

残念ながらサイバーセキュリティには輝かしいゴールがあるわけではない。デジタル技術は確実に進化し、企業のデジタル環境も刻々と変わっていくため、変化に対応し続ける終わりのない道を半永久的に進まなければならない。

「改善の視点を持ち続けるには『サイバーセキュリティについて自分ゴト化をはかる』『サイバーセキュリティに関する新たな文化をつくる』『集合知、複合的な力を発揮できるようにする』といった意識が重要だと、私は考えています」と上村氏は述べる。

信念に基づき根気強く力強いメッセージを発信し続ける。新たな価値を創出するための環境をつくる。そのために取り組む人やチームを鼓舞する。多様な情報を検証したり、多様な考えや情報を持つ組織間の横のつながりをサポートしたりしながら、改善に向けた取り組みを促す。そのための取り組みは経営者だからこそできることも多い。

「デジタル技術をここまで発展させたのは、民間企業や経営者の方々のおかげです。今後も産学官が連携し、全員でデジタル社会を、よりよいものにしていきたい。そのためにもサイバーセキュリティを改善させる歩みを停滞させるわけにはいきません。私たちも、サイバーセキュリティ経営ガイドラインの策定をはじめ、さまざまな施策を通じて共にデジタル社会の発展に取り組んでいきます」と上村氏は最後に強調した。