写真提供:マイナビニュース

写真拡大

パロアルトネットワークスは12月20日、経営層を対象としたセキュリティ指南書『マネジメントのためのサイバーセキュリティ』を無償で提供開始した。同書は、米Palo Alto Networksとニューヨーク証券取引所の共著『Navigating the Digital Age:the definitive cybersecurity guide for directors and officers』一部抜粋に、官民10名の社外有識者が加筆したもの。

具体的には、「サイバーセキュリティの現状」「企業経営とサイバーセキュリティ」「ベストプラクティス設計」「インシデントレスポンス」「サイバーリスクマネジメントにおける投資判断」「サイバーリスクと従業員教育」「サイバーセキュリティと法的側面」「重要インフラとサイバーセキュリティ」というテーマの下、解説が行われている。

同社の副会長を務める齋藤ウィリアム浩幸氏は、日本でもセキュリティ指南書を提供するに至った背景について、次のように語った。

「"サイバーリスク"と言われるが、これはただのリスクにすぎず、企業にとってマネジメントの課題だ。そこで、経営課題として、セキュリティを評価したかった。当社は情報共有が重要という理念を持って行動している。日本では、情報漏洩などの事件が起きると犯人探しが行われるが、サイバーセキュリティの観点からすると、事実を伝えることが大切であり、隠してもいいことはない。また、サイバーセキュリティは産学官が連携することが大切であることを踏まえ、今回、産学官の各界から執筆者を募り、協力してもらった」

続いて、最高セキュリティ責任者の松原実穂子氏が、自身が執筆した内容と2017年のサイバーセキュリティ予測について説明した。

松原氏は米Palo Alto Networks グローバルポリシー本部長のダニエル・クリズ氏と「日本のサイバーセキュリティ経営ガイドライン」を執筆。IPAが昨年12月に公表した「サイバーセキュリティ経営ガイドライン」により、経営層のセキュリティに対する意識が高まったとして、その意義を評価した。同ガイドラインが公表されてから、同社が開催するセミナーにも経営層の姿が増えたという。

ウィリアム氏と同様に、松原氏も情報共有の必要性を訴えた。グローバルの企業では60%以上が情報共有を行っているのに対し、情報共有を行っている日本企業はグローバルの半分の30%にとどまっているという。日本企業で情報共有が進まない理由としては、情報漏洩などを起こしたことを人に知られることをよしとしない「恥の文化」が挙げられた。

2017年に日本のサイバーセキュリティを巡るポイントとしては、「脅威インテリジェンスの分析と共有が企業間で活発になる」「ビジネスメール詐欺(Business Email Compromise)の増加」「中小企業や特定業種へのセキュリティ対策実施の圧力」「サイバー保険がより一般的になる」の4点が紹介された。

発表会には、同書の執筆陣も参加し、コメントを寄せた。サイバーディフェンス研究所で上級分析官を務める名和利男氏は、サイバー攻撃から身を守る上で最も重要なことは「攻撃者を知ること」と訴えた。

また、攻撃者は攻撃を要求する人、攻撃を行う人、攻撃を支援する人のエコシステムが成り立っており、防御する側も防御を必要とする人、実際に防御を行う人、防御に関係する人のエコサイクルを構築することも大切だという。

NTTで特別参与を務める横浜信一氏は、セキュリティに関するスポークスパーソンという自身の経験で得たこととして、「日本は米国に比べて遅れていると言われているが、実際、ブッシュ時代に行っていたことを、今の経済産業省が行っている」と語った。

また、「サイバーセキュリティは国家安全保障の一部だが、官やミリタリーに加えて、民・シビリアンも大きな役割を果たす。つまり、企業は自社を守るためのプロセスを経営プロセスに組み込む必要がある。自助ができている企業が集まって初めて、共助が成り立つ」と、共助の前に自助を促すアドバイスがなされた。

日本経済団体連合会 サイバーセキュリティに関する懇談会の座長を務める梶浦敏範氏は、「政府は重要インフラをサイバー攻撃から守ることを明示している。産業界も3年前はサイバーセキュリティを経営課題と見ていなかったが、今では経営上の課題と認識している」と述べた。

同懇談会は2016年1月、「情報共有」「人材育成」「セキュリティレベルの高いシステム構築」「国際連携の推進」を柱とした2次提言を発表しているが、人材育成が一番のキモだという。「現在、企業において、セキュリティに関わる人材の評価や処遇は適正とは思われないので、これらを見直して、キャリアパスを構築する必要がある」と梶浦氏。

さらに、企業内にとどまらず、中小企業もつながってくるサプライチェーンも含めた対策を産業界全体で考えていく必要があるとした。