日々激しさを増すサイバー攻撃にいかに対抗するか
──サイバーセキュリティの新たなガイドラインとNECの取り組み

攻撃された「被害者」が「加害者」となる

　あらゆる企業や団体がインターネットでつながることで、ビジネスのネットワーク全体がいわばひとつの「組織体」を形成しているのが現代社会の特徴である。そのような社会では、皮膚の小さな傷口から入った菌がときに身体全体を冒していくように、ネットワーク内のある脆弱な一点に対するサイバー攻撃が、組織体のさまざまな領域に及んで深刻な被害をもたらす。自社が仮に「傷口」、つまり攻撃の入口となってしまえば、そこから他社にも被害が及ぶ。そうなれば、自社に大きな損害が出るばかりでなく、顧客や取引のある企業に対しても多大な損失をもたらしてしまい、結果、企業としてのダメージは極めて甚大となる。そこに現代のサイバー攻撃の恐ろしさがある。

　サイバー攻撃による損害規模は、年々拡大している。日本ネットワークセキュリティ協会が2016年6月に発表した調査報告書によれば、2015年の個人情報漏えい事故の一件当たりの平均想定損害賠償額は、3億3705万円にも上るという。その影響は、経済的打撃だけではない。オフィスの空調システムを手掛ける出入りの業者を経由してサイバー攻撃を受け、膨大なクレジットカード情報と顧客情報を流出させてしまったある米流通事業者のケースでは、巨額の賠償金の支払いに加えて、取締役全員が解雇されることとなった。

セキュリティ対策は経営課題

　2015年12月に経済産業省が策定した「サイバーセキュリティ経営ガイドライン」が、セキュリティに関する指針では初めて「経営」の二文字を強調したのも、「セキュリティ対策はまさしく経営課題である」ということを、政府が改めて認識していることのあらわれである。

　「民間企業を対象としているだけでなく、これまで現場の情報システム担当の役割であると考えられていたセキュリティ対策をはっきりと経営マターと位置付けることによって、現場と経営層とが一体となったサイバーセキュリティへの取り組みを国が推奨している。それがこのガイドラインの新しさです」
　そう話すのは、NECでコンサルティングや体制構築支援を担当しているサイバーセキュリティ戦略本部の早川敦史だ。

　NEC自身もこのガイドラインの内容を受けて、あらためて「サイバーセキュリティ経営の重要10項目」に基づいて対策を見直し、社内のセキュリティ強化に取り組んでいる。CISO（最高情報セキュリティ責任者）の役割を明確化したのも、ガイドラインがこの役職の重要性に言及していることに対応したものだ。
　 ガイドラインでは、セキュリティ対策の「重要10項目」を定めているが、セキュリティサービスの前線で働く早川がとくに着目しているのは、「リスクの把握と計画」「サプライチェーン」「緊急対応チーム」といったキーワードだという。

　「自社のセキュリティリスクがどこにあるかをしっかりと把握すること、ビジネスのサプライチェーン全体を見たセキュリティ対策が求められること、サイバー攻撃などのセキュリティインシデントが発生した時、迅速に対応できるチームが必要であること──。それらが、とりわけ今後多くの企業が取り組まなければならない点であると考えられます」