高度化・巧妙化するサイバー攻撃と経営層の責務

長尾 慎一郎

新日本監査法人 アドバイザリー事業部 ITリスクアドバイザリー部 シニアパートナー

　サイバー攻撃は、ますます高度で執拗な脅威となっている。サイバー攻撃を受けた組織は、それまでのブランド価値や社会的な評価を大きく下げ、市場での競争力を失う。さらに、ガイドラインや法令への違反が露呈して規制当局などから罰則を受ける事例や、セキュリティ対策費用や損害賠償により数十億ドルもの巨額の経済損失を被りかねない事例が出てきている。

　米国第5位のスーパーマーケットであるターゲット社は2013年12月、買い物客のカード情報4000万件の情報漏えいを公表した。また、住所や電話番号など7000万件の個人情報が流出していたことも判明した。

　報道によれば、この事件による損害は、ネットワークサービスへの不正アクセス対策に関する費用として6100万ドル（1ドル100円換算で61億円）、訴訟による損害賠償請求額は最大36億ドル（同3600億円）に上る可能性がある。

　ターゲット社の事例はここ数年で最大規模であり、このような事件が多発しているわけではない。発生頻度でみればかなり少ない。しかし、攻撃者から狙われれば、このような事態がどの企業でも発生する可能性があるところに、サイバー攻撃が社会に与える深刻さがある。

　サイバー攻撃のリスクは経済損失につながり、どのような情報セキュリティ投資を行うかの判断は経営戦略に近い。企業がビジネス戦略に新しいテクノロジーを採用する場合には、サイバーセキュリティはリスクでもあり、逆に高い安全性のブランドが戦略の成功要因ともなる。このような損失の可能性と経営戦略という2つの理由から、サイバーセキュリティは今や、取締役会、監査委員会の最重要事項の一つとなっている。

経営層が対応しないことによって生じる問題とは

　経営層がサイバー攻撃を経営課題として認識して対応しない場合、次のような情報セキュリティ対策の問題が生じ、経営リスクとして顕在化しやすくなる。

• 企業の経営戦略には新しいテクノロジーを活用するケースがますます増えている。新しいテクノロジーの採用には必ずセキュリティの脆弱性が潜んでいる。このような新しい分野に対するセキュリティの課題への対応は、これまでの情報セキュリティ部門の判断基準では優先順位が低い。結果として対応が遅れる。
• サイバー攻撃による事故（インシデント）対応には、その攻撃の追跡や調査に高度なセキュリティの知識と事前のログなどの備えを必要とする。このような備えには多額の投資が必要となるため、経営者が関与しなければ対応が遅れることが多い。対応に不備のある状況で攻撃を受けた場合には、適切な手段をとれず、攻撃による被害を大きくしてしまう。
• セキュリティソフトウエアの更新については、企業全体で管理することが効果的である。経営層が関与しない場合には、セキュリティソフトウエアの導入やそのアップデートの運用が子会社または部門任せになることが多く、企業グループ全体では異なるセキュリティソフトウエアが混在し管理が複雑になる。その結果、セキュリティの脆弱性を生じ、サイバー攻撃を受けやすくなる。
• 経営層が情報セキュリティ管理に関与しない場合には、情報セキュリティ管理が部門任せになり、情報セキュリティに関わるリスクが取締役会に報告されなくなる。企業全体としての情報セキュリティの役割と責任があいまいになり、現場からの報告ルールも不明確になる。
• 企業の1カ所で発生したサイバー攻撃は、情報を分析して、対策を企業全体で共有する必要があるが、そのような分析の活用が不十分となる。
• グローバル企業では、地域ごと・業種ごとに異なる基準でセキュリティを管理しなければならないため、複雑性がさらに増大する。