見出し画像

経営課題としてのサイバーセキュリティ、成長戦略としてのサイバーセキュリティ

Dirbato公式

2020年12月7日、McAfee社と米国のシンクタンクCSIS(Center for Strategic and International Studies、戦略国際問題研究所)の共同研究レポート「The Hidden Costs of Cybercrime(サイバー犯罪の隠れた損失)」が発表された。
当該資料によると、サイバー犯罪による世界的な経済損失は合計1兆ドル(世界のGDPの1%以上)を超え、2018年と比較して1.5倍に増加している。サイバー犯罪による損失に対して、大凡の企業が適切なセキュリティ投資を行えていないことが一因だとしている。
また、セキュリティインシデントへの対策を行っていると回答した日本企業数は、世界平均の半分程度と、日本はセキュリティに対する意識が低く、改善の余地があることが示唆されている。
本コラムでは、サイバーセキュリティ対策が経営課題の一環であることを述べ、さらには、セキュリティ投資が企業の成長戦略につながることを解説する。

世界から見た日本のサイバーセキュリティ対策

「The Hidden Costs of Cybercrime」は、世界的な課題に対して調査、分析、提言を行っている米国のシンクタンクCSISがセキュリティ・ベンダーMcAfee社と共同で行った調査結果を公表したレポートである。7カ国の企業1,500社にインタビュー調査を実施し、サイバー犯罪に関する金銭的損害といった直接的な被害だけでなく、業務停止における損失など企業活動への影響度合いを網羅的に分析している。
一般的に、サイバー攻撃の被害を受けた際、その被害の大きさを示すために機密情報漏えいと金銭的損失が大きく取り上げられる。しかしながら、当該レポートでは、直接的な被害の陰に埋もれやすい企業のパフォーマンス低下に対する影響度合いを考慮した分析を行っている。具体的な評価項目について、以下に取り上げる。

画像1

①システムのダウンタイム
インタビューに回答した約3分の2の企業がシステムダウンを経験しており、2019年のダウンタイムの被害平均額は、762,231ドル(約 7,980 万円)になる。企業規模が大きければ大きいほど被害額も大きく、従業員が5,000人を超える企業では、従業員が1,000~2,999人の企業と比較して、ダウンタイムの被害額が2倍になると報告されている。
調査によると、7日以上のダウンタイムは1%程度であり、通常は1日未満で復旧している。

②業務効率の低下
一般的に企業は、事前に計画しているBCPを発動し、残されたリソースを活用して事業活動を継続する。しかしながら、通常の業務を遂行するシステムが停止していることから、業務効率が低下する。
2019年にこのような事態を経験した1,332人の調査回答者のうち、45%がセキュリティソフトへの投資、39%がセキュリティインシデントの予算の増額、30%がセキュリティスタッフの採用を行うといった再発防止策を実践している。

③ブランドの信頼損失
2019年にこのような事態を経験した企業の26%が、サイバー攻撃による企業ブランドの信頼低下を認めており、ブランドの信頼回復、風評被害の軽減、インシデント予防のための新たな雇用などの対応に投資している。
ブランドの信頼回復は技術的な対応だけなく、企業が状況についてどれほど透明性を維持し、且つ率直に情報公開し、企業の持つ個人情報の漏えいリスクの危険性について関係者に通知することが不可欠とされている。

④インシデント対応
サイバー攻撃に対する復旧対応はシステム復旧のみならず、顧客に対する保証サービスの提供や説明のためのコールセンタの設置なども含める必要がある。また、インシデント対応のために外部支援を必要とするなど、被害後の対応コストが少なくないことを理解する必要がある。

企業へのインタビューの結果、サイバー犯罪に関する企業全体の理解の欠如が問題であるとしている。インシデント防止策、対応策に関する計画を策定している、と回答した企業は全体の44%のみであり、残り56%は対応や計画策定がなされていない。 

その中でも日本は、インシデント防止策も対応策も全く計画していない割合が11%と最も高く、世界的な情勢と比較するとサイバー犯罪に対する意識が低いとみられている。理由としては、2019年度中にセキュリティインシデントを経験しなかった日本企業が40%、世界平均が26%と米国の18%と比較するとそもそも攻撃対象となっていることが比較的低いことが要因の一つとして考えられる。
セキュリティインシデントの経験が少なく、かつインデント防止策・対応策が海外と比較し成熟していないため、日本はダウンタイムが世界平均よりも1時間長くなっている。また被害額についても、日本は世界平均より多額となっており、世界平均の 762,231 ドル(約 7,980 万円)と比較して、日本は 1,205,714 ドル(約 1 億 2,600 万円)という結果になっている。

経営課題としてのサイバーセキュリティ対策

「サイバーセキュリティ対策」とは、「IT社会における情勢を把握したうえで企業の活動を阻害する恐れのあるリスクをマネジメントし、常に事業活動が行える状態を維持できること」として筆者は捉えている。
経営課題としてのサイバーセキュリティ対策について、①事業継続性、②信頼性の2つに分けて考察する。

① 事業継続性
サイバーセキュリティのインシデント発生により、事業活動そのものが停止する事態が本コラム執筆中に現実のものとなった。国内食品業の企業がランサムウェアに感染し、四半期決算発表ができなくなるというインシデントが発生した。
ランサムウェアの目的が身代金であれば、金銭を支払うことでシステムの早期復旧に努めることも可能だが、事業活動を一切行えない状態に追い込むことにより企業の存在そのものを脅かすことが目的であれば、ランサムウェアによる攻撃に対する対策を行うことは、まさに企業が経営を行うにあたっての課題の一つといえるだろう。
中小企業の中には自社がそもそもランサムウェア攻撃の対象にはならないと考えてセキュリティ対策を行わないことが多いが、これは誤りである。ターゲット企業(主に大企業)を狙い撃ちする攻撃手法、無差別攻撃により脆弱性を突かれた企業に対して身代金要求を請求する手法など、不正者の攻撃パターンは様々である。事実、COVEWAREによるランサムウェアの2021年第1四半期における平均被害総額は222,980ドル(約2,400万)とされており、これは決して大手企業を狙ったものではない。

信頼性
事業活動を行うにあたって、ステークホルダが必ず関わってくる。取引先、顧客、従業員、金融機関や行政機関など様々であるが、これらは一定の利害関係と信頼から成り立ち、事業活動に不可欠となっている。最近のビジネスITの発展により、ステークホルダ同士がネットワークでつながっていることが一般的になっており、サプライチェーンのリスクとして顕在化している。セキュリティ対策を疎かにした企業を経由して不正侵入され、緊密な関係がもろくも崩れ去り、事業活動そのものが行えなくなるような事態に陥ることがある。
100%防ぐことが可能なセキュリティ対策は存在しないため、企業としてどこまでセキュリティ対策を行えば良いのか、結局防げないのであれば、対策を行うこと自体が利益の損失ではないか、という話をよく聞かされる。
サイバー攻撃を防げないのであれば対策自体を無駄と言う考え方を完全否定することはできない。しかしながら、セキュリティインシデント発生後、セキュリティ対策の有効性を評価する際に、一定基準のセキュリティ対策を実施しているか、いないかによって、企業に対する信頼性に雲泥の差が生じることになる。

画像2

これは「対策をここまでやっていたのだから仕方がない」という言い訳のために対策を行うべきである、という話ではない。取引先、顧客、従業員、金融機関や行政機関などのステークホルダが、これら状況をどう受け止めるかの物差しの差である。
前述のとおり、ステークホルダとの関係は一定の利害関係と信頼から成り立つ関係としているが、果たして対策を行っていなかった場合におけるステークホルダの受け止め方と、それに影響される企業経営の損失額は如何なるものになるか、想像することは容易といえるだろう。

成長戦略としてのサイバーセキュリティ対策

「守りの投資」との言われるように、基本的にセキュリティ対策は企業のリスク回避のための投資と位置付けられている。しかしながら、投資に対する費用対効果が見えにくいことから、企業経営者に投資の必要性を納得していただくのは難しいところである。
ここでは、セキュリティ対策を企業が利益を得るための「攻めの投資」として位置付け、企業のセキュリティ対策を促進するために、①ワークスタイル変革、②業務のデジタル化の2つに分けて考察してみる。

①ワークスタイル変革
セキュリティ対策を重要としていない企業においても、以下のような業務上の課題を抱えることは珍しくない。

・社内システムや端末のOS、ソフトウェアのサポート期限切れに伴う対応が
 必要になり、数年間毎に切替えのための一次費用が発生する。
・社内ドキュメントのアクセス権限や保管ポリシなど、社内ルールが明確で
 ない。そのため、Office365やboxといったクラウドサービスを導入する際
 に社内ルールに基づく設定ができない。

最近は、①クラウドサービスの利用が一般的となってきたこと、および②クラウドサービス提供者側が強くセキュリティを意識したサービス展開していること、により、セキュアなIT環境を容易に実現できる。例えば、サブスクリプション形式で常に最新のOS、ソフトウェアを利用可能となり、標準で強固なセキュリティを実現可能なクラウドサービスを利用できる。
企業が利益向上を求め続けるだけではなく、時代の流れに沿ったIT環境を利用することにより、サイバーセキュリティ面での強化を図ることができる。過去の遺産に縛られ、導入が迫られているにも拘らずそれを疎かにするのは、中長期的に見て競合企業に対して後れを取ることにつながるのではないだろうかと考える。

②業務のデジタル化
2016年、英国では「Cyber Essentials」というスキームに基づく企業の安全性の認定が受けられていない場合、英国政府からの業務委託が受けられない仕組みが政府にて制定された。このように各国の政府にてサイバーセキュリティの取り組みが少しずつ拡大している。ビジネスのデジタル化が進展する中で、国家安全保障の取組みも考慮したサイバーセキュリティ要件は必須となることは明白である。
逆に情勢の流れに逆らうようにサイバーセキュリティに取り組まない企業は、取引先や協業相手として選ばれる機会を損失することになる。いわば、サイバーセキュリティが企業の競争力確保の前提になる時代が到来しつつあるともいえるだろう。
日本においても2021年予定のデジタル庁の設置、企業の技術等の情報管理について国が認定する「技術情報管理認証制度」、「情報セキュリティサービス審査登録制度」が開始されるなど、社会のデジタル化に向けた取り組みが進められている。

最後に

冒頭に「セキュリティに対する企業の認識低下は、企業の事業戦略の欠落」とした理由について、企業の経営課題と成長戦略に大きく分けて考察した。
従来のITは、数年に1度の大規模投資を繰り返さなければならない、企業経営を圧迫しかねない要素であったが、最近のサブスクリプション型のITにより経営インパクトを減らすことが可能となっている。さらには、クラウドサービスを利用することにより、常に最新のIT、最新のセキュリティが利用できるような環境が整っている。
また、デジタル社会への移行に伴って、セキュリティはオプション要件から必須要件へと変わってきており、さらには、企業経営の差別化要因にもなり得ることを意識していただきたい。
以上の通り、今の社会において企業がサイバーセキュリティに取り組まないということは事業を放棄していることと同義といえるだろう。また、従業員や取引先、顧客等と安心と信頼した関係を築くためにも、セキュリティに対する投資を無駄とするのではなく、必要な投資であると前向きに検討していただければと幸いに思う。

執筆者
綿引 啓介
株式会社Dirbato(ディルバート)
コンサルティンググループ シニアコンサルタント

直近では官公庁のインフラ、セキュリティ領域におけるシステム設計~運用まで一貫したプロジェクトに従事。その後2021年4月に株式会社Dirbatoに転職し、コンサルタントとして活動を開始。

いいなと思ったら応援しよう!