第14回テーマ　「サイバーセキュリティ経営ガイドライン改訂」

経済産業省がサイバーセキュリティ経営ガイドライン改訂版を発表。企業はどう取り組むべき？

「仮想通貨ってよくわからないんだけれど、ものすごい金額が流出したものですね」

アミダ社の昼休みの休憩室、中村がランチを取っていると、いつものように総務部の加藤彩が近づいてきた。

「あの会社ってインターネットと切り離しておくべきサーバに仮想通貨を置いたまま、ほとんど何のセキュリティ対策もしてなかったって話じゃないですか。なんか、すごく危なっかしいというか……」

「そうなんだ、サイバーセキュリティの基本ができてなかったんだよね。システム担当者のうっかりミスなのか、人材不足で手が回らなかったのかはよくわからないけれど」

「仮想通貨だけじゃなくて、個人情報や社内の機密情報の流出って、なくならないですよね」

「企業がセキュリティ対策を講じると、向こうもそれを上回る漏えい技術を編み出す。文字通りのイタチごっこだからね。ただ、最近の技術や犯罪手口をしっかり押さえて、基本的な取り組みは続けるしかないんだよ」

「何かいいガイドラインのようなものはあるのかしら」

という加藤の問いで、中村は昨日の江窪社長との会話を思い出した。

「中村君、最近、経済産業省が“サイバーセキュリティのガイドライン”ってのを発表したそうじゃないか。あれはウチなんかも参考になるものなの？」

「経済産業省と独立行政法人情報処理推進機構（IPA）が出している『サイバーセキュリティ経営ガイドライン』のことですよね。新たに発表されたものじゃなくて、初版は2015年に出ています。2017年の11月に2回目の改訂が行われたんですよ」

「そうなんだ。きっと大切なことが書いてあるんだろ。それを参考にウチのセキュリティ対策を見直してみてはどうかな」

江窪社長にしては珍しく積極的な提案だった。

中村は加藤にもこのガイドラインの存在を説明した。

「今回の改訂の背景には、サイバー攻撃はさらに巧妙化・悪質化しているから、その動向にあわせてセキュリティ対策も継続的に強化していく必要があるという認識があるんだ。特に、サイバー攻撃を未然に防ぐだけじゃなくて、実際に侵入された場合にどうするかという観点からセキュリティ対策を見直しているところがポイント。検知・対応・復旧という事後対策に重点を置いているんだ」

「へぇ〜中村さんはもうそれを読んだんですね。私も早速、読んでみよう。それで、アミダ社の現状と比較して、社長に何か対策を提言しましょうよ」

これまた、加藤も積極的だ。

実は、中村はざっとガイドラインを眺めたものの、アミダ社のような中小企業がそれに沿ってどんな対策を講じるべきか、なかなかピンと来ないでいたのだ。そこで、その夜に、友人のSE、海田大輔に会ってガイドラインの概要をあらためて説明してもらうことにしていた。

「いい機会だ、今晩海田君と会うことになっているから、加藤さんも一緒に来ない？」と誘うと、「行きますっ」と加藤は即答した。

「このガイドラインでは初版から経営者や幹部に向けてサイバーセキュリティの考え方や重要項目を定めたものなんだ。サイバーセキュリティは経営問題であること、セキュリティ対策を“コスト”として捉えるのではなく、将来の事業に向けた“投資”と捉えるべきであること――という提案をしていて、経営者が認識すべき3原則を定義しているんだ」

と、生ビールを空けると、早速、海田は説明を始めた。

「3原則ってどんなことですか」

加藤が質問する。

「セキュリティ対策では、経営者のリーダーシップが重要である、自社以外のビジネスパートナーのセキュリティ対策にも配慮すべきである、平時からの社内コミュニケーションや情報共有が重要である――と、当たり前のことだけどね。それに基づいて、情報セキュリティ対策の責任者である担当幹部に指示すべき重要10項目というのも定めている」

「“情報セキュリティ対策の担当幹部”って、アミダ社の場合は誰のことになりますか？」

「そりゃ、君の隣にいる中村君に決まってるじゃないか」

「えー、中村さん、すごいんですねえ」

「他に人がいないってだけだよ」と、中村は照れた。

「重要10項目といっても、サイバーセキュリティリスクの管理体制を構築しろとか、問題発生に備えた緊急対応体制を整備しろとか、情報共有活動への参加を通じた攻撃情報の入手とその有効活用を図れとか、なかなか抽象的で、中村がピンと来てないのもよくわかるよ」

「確かに対策例は書いてあるけどね。例えば、“サイバーセキュリティ対策のための資源（予算・人材等）確保”という項目。予算をケチっていると、組織内にセキュリティ対策の専門家が育たなかったり、信頼できる外部ベンダーへ業務を委託することもできなくなる、というのはその通り。対策としては、“従業員やセキュリティ担当者向けの研修のための予算を確保し、継続的に役割に応じたセキュリティ教育を実施すべし”とあるんだけれど、それができてたら、俺も苦労しないよなあ」

「まあまあ、グチは止めようよ。経済産業省のガイドラインにもこう定義されています。社長、しっかり予算を取ってくださいと詰め寄るための材料にはなるんだから」

「そうよ、いつも腰の重い江窪社長を焚き付けるのには、ちょうどいいわ、これ」

「重要10項目のなかでも、いちばん重要だと俺が思うのは、“指示6”に書かれている“サイバーセキュリティリスクに対応するための仕組みの構築”というところだ。そもそも、これは最近のサイバー攻撃の高度化・巧妙化という流れを受けて作られたガイドラインだからね。たとえ中小企業でも攻撃の踏み台にされてしまうと、取引先に迷惑がかかるだけじゃなくて、国の安全保障にとって重要な技術情報が流出したり、重要なインフラが停止してしまったりと、大事になる。ガイドラインではそれに対する危機感はハンパじゃないんだよ」

と、海田はいつになく能弁だ。きっと彼自身が自分の会社のセキュリティ状況を憂うことがあるのだろう。

「ふーん、中小企業だからって、狙われることないなんて思い込んでちゃダメなんですね」

と、加藤も応じた。

「“重要業務を行う端末、ネットワーク、システムまたはサービス(クラウドサービスを含む) には、多層防御を実施する”、“アクセスログや通信ログ等からサイバー攻撃を監視・検知する仕組みを構築する”、“従業員に対する教育を行い、適切な対応が行えるよう日頃から備える”――このあたりになると対策例も具体的だね」

中村は海田の話を聞くうちに、自分の頭の中でモヤモヤっとした抽象論が具体論に変わっていくのを感じていた。

「“指示7”の“インシデント発生時の緊急対応体制の整備”も読んでみてよ。サイバー攻撃を受けたことを認知したら、どんなふうに損害を特定し、被害拡大を防止すべきかという話だ。事故が発生したことを知らせる通知先一覧を整備し、対応に従事するメンバーに共有しておくことなどが書かれている。ガイドラインには、“インシデント発生時に組織内で整理しておくべき事項”という付録文章もついていて、参考になるよ」

「わぁ、これエクセルの一覧表になってる。すごく細かいんですね」

「うん、細かいけれど、一つひとつチェックすれば、アミダ社が今できていること、できていないことが見えるようになるかもしれないね」と、中村は感想を述べた。

「そうそう、おたくの社長さんには、最初はもう一つの付録の“サイバーセキュリティ経営チェックシート”を読ませるといいかもしれないな。“経営者が定期的に、サイバーセキュリティ対策状況の報告を受け、把握しているか”、“サイバー攻撃の初動対応マニュアルを整備しているか”、“被害が発生した場合に備えた業務の復旧計画を策定しているか”など、10の重要項目について全部で41項目のチェックシートで現在の対策状況が把握できるようになっている」

「これってわかりやすいわ。ね、このチェックシートを社長にも記入してもらいましょうよ。きっとウチの場合、半分ぐらいできてないんじゃないかと思うけれど、これがこれからのセキュリティ対策のたたき台になるはずだわ」

勢い込んで話す加藤のビールは、もう三杯目だ。

しかし、彼女の指摘は正しい。「一緒にチェックシートを点検することで、社長のセキュリティへの意識も変わるはずだ。けっして他人事じゃないんだということを分かってくれるはずだ。それを全ての出発点にしてみよう」と、中村は思うのだった。

• 2017年11月「サイバーセキュリティ経営ガイドライン」が改訂された。
• 近年のサイバー攻撃の巧妙化・悪質化を踏まえ、10項目にわたって継続的なセキュリティ対策の重要性を指摘している。
• サイバーセキュリティは経営問題であり、対策を“コスト”として捉えるのではなく、将来の事業に向けた“投資”と捉えるべきという視点は一貫している。
• 実際に侵入された場合にどうするかという観点からセキュリティ対策を見直しているところが改訂のポイント。
• 付録の「サイバーセキュリティ経営チェックシート」を活用することで、経営者の関与の度合いや現状のセキュリティ対策で欠けている部分が見えてくる。