サイバーセキュリティは企業の責任

私の関わる仕事の一つに、一般社団法人日本サイバーセキュリティ・イノベーション委員会の理事というものがあります。この財団は、1年前に設立されたシンクタンクで、これまでの技術論中心だったサイバーセキュリティに対して、企業視点のサイバーセキュリティについて研究・調査・発信していくことを目的にして設立されました。

昨日は、その財団のシンポジウムで「取締役から見たサイバーセキュリティ」というテーマのパネルディスカッションのモデレータをしました。

サイバーセキュリティは、どの企業もトップクラスのリスクとして認識はしているもののサイバー攻撃を防ぐためにどの程度のお金をかけるべきかに悩んでいます。これは災害対策にも似ていて、お金をかけて何も起きなかった時に、お金をかけたから事故が起きなかったのか、お金をかけなかったとしても事故に至らなかったのかが判別しにくく、サイバー攻撃から会社を守るためにどの程度予算が必要かの合意を得にくいからです。

けれども、昨日のパネルディスカッションで、とても勉強になったのが、もしも事故が起きた時の体制を前もって議論して、決めておくことの大切さでした。

パネリストのお一人の慶應大学の国領先生が例示してくださった話がわかりやすかったので、紹介します。

例えば、入試日の直前に、セキュリティホール（学内のネット環境に外部から不正アクセスできるような不備）が見つかった時、このセキュリティホールを修復するために、入試を延期するという判断ができるのか。しかも、そのセキュリティーホールからすでに情報が盗まれているかがわからない時は、なおさらその判断は難しくなるし、情報が盗まれているかどうかを調べるために、様々な学内のシステムにアクセスして調査をする権限を誰が持つことを許可するのか・・。現実にこうしたことが起きた時、半日以内に結論づけるのは、困難ですから、前もって、議論をして決めておくことが必要とのこと。

また、米国でもサイバー攻撃に対するシミュレーションを複数の企業のトップが参加して行なっているそうですが、専門家の方によると、米国のトップは、サイバ攻撃を受けて、身代金を要求された時、それを支払って、攻撃を受けたことを隠蔽する行動をしがちだったそうです。しかし、それは、結果として大きな損失に繋がるのですが・・。

サイバーセキュリティという言葉で話していると、なんだか専門的で特別な分野の難しい議論に感じますが、結局、企業が顧客や従業員や世間や株主に対して、責任をどこまで持つ覚悟と体制を持って経営しているかが問われるのだと改めて思いました。