「サイバーセキュリティの攻撃者には勝てない。真っ向から立ち向かうのではなく、遠ざけるというマネジメントを考える必要がある」。
IT情報専門誌「日経コンピュータ」の井上英明記者は、東京・目黒のウエスティンホテル東京で開催した「イノベーターズ会議」(日経BP社 日経ITイノベーターズ主催)の講演で、こう切り出した(写真)。
井上記者は、「遠ざけている間に、攻撃者がいつ仕掛けてきてもよいように、対策を打っておく」とアドバイスする。ただし、どういった対策を打つのかを、システム部門だけに任せておいては駄目だ。井上記者は「サイバーセキュリティは経営課題になっている」と指摘。いまや、経営トップが取り組むべき差し迫った問題になっていることを強調した。
サイバーセキュリティが経営課題の1つになった背景として、井上記者は過去に報道された4つのセキュリティ事故が大きく影響しているという。1つめは、2011年に三菱重工業で狙った標的型攻撃。マルウエアの感染により社外から不正アクセスされた。2つめは、同じ手口で約2200万件ものIDとパスワードを漏洩させた2013年のヤフーの事故。3つめはマルウエアではなく社員による内部犯行で、2014年のベネッセ・コーポレーションで起こった顧客情報の漏洩事故。4つめは、まだ記憶に新しい日本年金機構からの個人情報流出事故だ。
こうした社会的な影響が大きく、企業や団体の信用を大きく損なうことになったセキュリティ事故が続いたことで、「経営トップのセキュリティ意識は格段に高くなった」と井上記者は話す。実際、経済産業省が2015年12月28日に「サイバーセキュリティ経営ガイドライン」を公開するなど、サイバーセキュリティを経営課題の1つとして捉えていく「サイバーセキュリティ経営」の動きが活発になっている。
では、サイバーセキュリティ経営を、どのように実践していけばいいのか。井上記者は、6つの施策を提言した。
