経済産業省とIPAが「サイバーセキュリティ経営ガイドライン」を公開してから1年が経過した。この間、企業のセキュリティ対策への意識、向き合い方にはどのような変化が生じ、どのような課題が見えてきたのだろうか。自らさまざまなセキュリティ対策や推進時の課題に取り組み、顧客の生の声も知るNECのスペシャリストに尋ねた。
2015年12月末に経済産業省とIPA(情報処理推進機構)が公開した「サイバーセキュリティ経営ガイドライン」は、企業のセキュリティへの向き合い方に一石を投じたようだ。セキュリティを単なるITシステムの問題ではなく経営課題と捉えた上で、経営者がリーダーシップを取り、戦略的に投資を行っていくべきと呼び掛けたこの文書は、これまで「経営層にセキュリティの必要性を理解してもらうのが大変で……」という悩みを抱えていたセキュリティ担当者に歓迎され、一定の認知を得ている。
公開から約1年がたった2016年12月には、改訂版の「サイバーセキュリティ経営ガイドライン Ver1.1」と、具体的な対策手順やポイントを解説するIPAの「サイバーセキュリティ経営ガイドライン解説書」が公開された。この改訂では、「セキュリティ投資は必要不可欠かつ経営者としての責務である」旨が明記され、よりポジティブなメッセージが伝えられている。
一方で、@ITが2016年8月に実施したアンケート調査の結果によれば、特に中小企業において同ガイドラインの浸透率・活用率は決して高いとはいえなかった。実際のところ、サイバーセキュリティ経営ガイドラインの公開によって、企業のセキュリティに対する状況はどのように変化したのだろうか? 日々、セキュリティサービスの前線で顧客と向かい合い、生の声を耳にしているNECのサイバーセキュリティ戦略本部 セキュリティ技術センター 主任青木聡氏と辻貴孝氏に話を聞いた。
「先進的な企業では、ガイドラインに基づいた取り組みが既に進んでいます。ガイドラインの3原則の1つとして、『自社のみならず、系列企業やサプライチェーン、ビジネスパートナーなども含めたセキュリティ対策が必要』と明記されたこともあり、特に大手製造業を中心に、自社だけでなくサプライチェーンも考慮した対策を検討する企業が増えています」と、青木氏は企業の最新動向について述べる。
加えて、標的型攻撃や情報漏えいといったセキュリティインシデントが多発し、マスメディアで盛んに報道されていることもあり、「徐々にセキュリティを『自分ごと』として考え、経営リスクの1つとして捉える機運が全体的に高まっていると感じる」(辻氏)という。
事実、NECが2016年9月からWebサイトで公開した「サイバーセキュリティ経営ガイドラインに基づいた簡易リスクアセスメント」(簡易診断)と、同時に実施したアンケートによると、回答者のうち13%が「対応済み」、20%が「対応中」と回答。さらに「対応検討中」「情報収集中」とする44%も加えると、回答企業のうち約8割が、ガイドラインに関心を持って何らかの取り組みを進めている状況だった。
だが同時に、もう1つのアンケート「サイバーセキュリティ対策における自社の課題」の結果を見ると、いざセキュリティ対策を推進しようと一歩踏み出したところで、人材や組織体制といった課題に直面する企業が多いことも明らかになった。簡易診断の判定結果でも、全体の約3分の1の企業がガイドラインで示されるカテゴリの1つである「経営者によるリーダーシップ表明/体制構築」を課題にしていた。
「長らくセキュリティはコストと捉えられてきたため、予算面での課題が上位にくると予想していました。しかし蓋を開けてみると、予算以上に、人材や体制構築の問題が壁になっていることが明らかになりました」(辻氏)。
青木氏も、「実際にお客さまと会話をしていても、やはり『人材がいない。セキュリティについて知っている人がいないし育てるには時間がかかり、中途採用もどのような人材を取ればよいか?』という話になります。これはサプライチェーン全体の対策と並んで、どの企業にも共通する課題だと感じています」と述べる。
特に、最近、インシデント対応や各所との調整に当たる「CSIRT」の構築に取り組む企業が増えているが、CSIRTという“ハコ”は作っても、機能しているかどうかとなると別問題だ。「実際に多くの企業が、運用メンバーのスキル不足やマニュアルの未整備といった体制面の問題に、ここでも直面しています」(辻氏)という。
このように、ガイドラインの公開を機に何らかの形でセキュリティに取り組む必要性を感じてはいるものの、「具体的にどうしたらいいのか分からない」という悩みを抱える企業は多いようだ。こうした企業に向けて、NECはどのような支援を行っていくのだろうか?
実は、セキュリティ人材の育成にせよ、サプライチェーンも含めたセキュリティ対策にせよ、“NEC自身”が20年以上前から取り組みを実践し、経験を積み、多くの知見を蓄積してきた分野だ。自らの経験に基づいて、先進的なソリューションの提供はもちろん、リスクアセスメントやセキュリティ教育・演習といった多様なサービスやコンサルテーションを通じてそのノウハウを還元することで、顧客の課題を解決していくという。
「NECの中でもどんどんセキュリティ人材の育成を進めています。技術を突き詰める人だけでなく、各業界特有の事情とセキュリティ知識を併せ持った人材などを、多様なキャリアパスの中で育成しています」と青木氏。そのノウハウを生かして顧客を支援すると同時に、いざというときにはこうしたプロフェッショナル人材によるアウトソーシング支援を行っていくことも可能だ。
改訂版ガイドラインでは、ITシステムだけでなく、自社が生産した製品のセキュリティについても対策を検討するよう求めている。サプライチェーンの中で、1つ1つの部品がセキュアに作られていなければ、完成品にも脆弱(ぜいじゃく)性が残ってしまうからだ。また、ITシステムだけでなく、工場の制御システムなど、幅広い分野を網羅してセキュリティを考慮していくことも求めている。自社の人材だけで、こうした全ての対策をカバーするのは簡単ではない。
「IoTの世界では自社製品がネットワークにつながり攻撃を受ける可能性があります。NECには製品の脆弱性対応やセキュアな開発を実践し、回していくノウハウもありますから、それをコンサルテーションの中で還元することも可能です。また、NEC自身の経験を基に、制御システムも含めて、ガイドラインで求められていることの何ができており、何ができていないのか、どこから取り組むべきかを考える際のノウハウを提供できます」(辻氏)
セキュリティ対策について具体的な話を進めようにも、そもそもセキュリティについて相談できる人が周りにいない、という担当者も少なくないだろう。そんなときには、「社内での検討が少しでも前進するように、NECが平時から情報を提供したり、さまざまな相談に乗るような支援も今後提供していく」(辻氏)。
いずれにせよ、「具体的に何をどうしたらいいか分からない」というもやもやを解決するには、まずは自社の現状を明らかにすることが重要だ。NECでは、無償で利用できる「簡易診断」に加え、より詳細なアセスメントサービスも用意している。
「ガイドラインを踏まえてセキュリティの必要性を経営層に説明する際、いきなり難しい技術の話をしても伝わりません。自社の状況を“第三者視点”で診断してもらった結果を示し、問題点は何かを共有するところから議論を始めてみるのは効果的です。現状が明らかになれば、次に何をすべきか、優先順位も見えてきます」(辻氏)
NECでは、企業の担当者向けに、サイバーセキュリティ経営ガイドライン活用のポイントを解説した資料「これですっきり経営ガイドライン」を公開している。非常に分かりやすい内容となっているため、自社の現状に不安を抱えている方々は、アンケートに答えてダウンロードし、参考にしてみてはいかがだろうか。
「社長、大変です」ではもう遅い 今すぐ始めるセキュリティ3原則と重要10項目
サイバー攻撃の脅威は全ての企業に拡大し続け、法人も個人も経営責任を問われるケースが増えている。「今まで大丈夫だったから」では済まされない、経営者が今すぐ取り組むべき心構えを漫画とストーリーで解説する。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:日本電気株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2017年3月19日
サイバー攻撃の脅威は全ての企業に拡大し続け、法人も個人も経営責任を問われるケースが増えている。「今まで大丈夫だったから」では済まされない、経営者が今すぐ取り組むべき心構えを漫画とストーリーで解説する。