「日本にも能動的なサイバー防御が必要」経済同友会が政府と経営者に提言
経済団体・経済同友会の内部組織である企業のDX推進委員会は10月23日、サイバーセキュリティに関する提言「『Cyber Security Everywhere』の時代~企業経営者の8つのアクションと政府への6つの提言~」を発表した。 【全画像をみる】「日本にも能動的なサイバー防御が必要」経済同友会が政府と経営者に提言 同日、企業のDX推進委員会の共同委員長、伊藤穰一氏と鈴木国正氏から、提言を取りまとめるに到った背景や狙いについて説明があった。 現在も続くロシアのウクライナ侵攻においては、武力攻撃の前に衛星通信システムや変電所にサイバー攻撃が行われた。世界各国のサイバー攻撃をめぐっては、犯罪集団が攻撃する以外にも、国家が支援をしているのではないかと噂される事例もあるという。 サイバー攻撃は近年増加していることはもちろんのこと、攻撃は高度かつ複雑になっており、防御が追いついていない状況だ。 一方で、経済活性化ではDXがキーになっているが、人材は不足している。人材不足はサイバーセキュリティの面でも同様だ。伊藤氏は「DXが普及すればするほどサイバーセキュリティのリスクが大きくなる。そこで我々は(あらゆる場面でサイバー攻撃の脅威と対峙する)『Cyber Security Everywhere』時代として提言を行った」と語った。
経営者が取り組むべき8つのアクションとは
現在、情報システムやクラウドの利用が広がり「アタックサーフェイス(サイバー攻撃できる場所」が増えている。ランサムウェア攻撃では身代金が要求されることもあり、攻撃は強く複雑だ。また、守る方も攻撃する方もAIを活用することで、さらにリスクが大きくなる可能性があるという。 サイバー攻撃による企業のサービス停止・廃止の危険性、セキュリティ人材の不足など、経営課題の重要度は増している。サイバー攻撃の件数は増えており、伊藤氏は「ちゃんと検証や監査ができていないので、(【図2】のサイバー攻撃関連の年間通信数約6197億パケットは)この数字でもまだ低いのではないか」と予想している。 こうした現状を、同委員会は「サイバーセキュリティは経営課題、常時有事対応」「ガバナンス強化」「人材育成・獲得」という3つの課題として整理。そして、この3つの課題に対して、経営者が取り組むべき8つのアクションを提言した。 伊藤氏は「サイバーセキュリティをコストだと思ってる人たちが多いが、サイバーセキュリティは成長のドライバーになり得る」と指摘する。 サイバー攻撃を恐れるあまりDXに踏み切れない企業もあるが、「適切なサイバーセキュリティがあればDXも進められる。サイバーセキュリティにきちんと投資できると、できることが格段に増える」(伊藤氏)として、まずはサイバーセキュリティを重要な経営課題と位置づけるように提言する。 2つ目は体制強化。海外企業では9割近くが置いているCISO(Chief Information Security Officer)も、日本で設置している企業は43%と少ないとした上で、「経営レベルで責任を取る人材を育てることも大切」だという。 3つ目は取締役会での議論。「専門知識のある役員を入れて、担当を決めることが重要」とした。 4つ目はリスクの見える化・数値化。自社でビジュアライズすることが重要だという。 「システム会社や業者はベーシックな対策はできるが、『この情報を取られたらサービスが停止する』『この情報は価値があるから狙われる』といったような、どの資産にどのぐらいの価値があり、どこを攻撃されると何が起きるかということは、業務が分かる経営者にしか分からない。そこをきちんと整理することが重要」(伊藤氏) 5つ目はリスクへの対応計画を策定すること。これは役員会レベルで議論し、対応策を決めることが必要だという。 「『ここまで攻撃されたらサービス停止を検討する』といったように、事前にできる限りのシナリオを考えてプランを立てておくと、経営者のクビになるリスクが減る。こういう準備はとても重要だが、まだできていない」(伊藤氏) 6つ目はサイバーセキュリティの予算を独立して持つこと。IT予算の一部になっているところが多いが、そうすると「いかに安く抑えるか」という意識になるという。「サイバーセキュリティでベストプラクティスな企業は、そこがちゃんとやれている」そうだ。 7つ目は、どういう人材が足りないかを整理してマッピングすること。サイバーセキュリティ人材が足りないことは広く理解されているが、「どういう人材が足りないか、どういうスキルで、どうやって育てるかという細かいところが実は決まってない」と指摘。人材確保、育成についてのサポートはイギリスやアメリカの施策が参考になるという。 8つ目は人材の育成・獲得だ。ここに関しては、6割近い人材を海外から調達しているメルカリの対策を参考として挙げた。それに加え、自分たちで教育することも必要との考えだ。
