グローバル企業経営の重大リスクを考える
サイバーセキュリティフォーラム2014
グローバル規模で複雑に相互依存するネットワーク化された
社会において、企業はどのようにサイバー攻撃の脅威に対峙
すべきなのか
【パネルディスカッション】
サイバー攻撃に対応するグローバル組織の
あり方とインシデントレスポンス
プライスウォーターハウスクーパース パートナー
松崎 真樹 氏
日本を代表するセキュリティ専門家が一堂に会したパネルディスカッションは、非常に中身の濃いものとなった。まずモデレーターの松崎氏が、トレンド、サイバー攻撃の実態、法的な対応、企業の取るべき対応という四つのテーマを提示して進行した。
内閣府本府参与
齋藤 ウィリアム 浩幸 氏
国内外の事情に詳しい齋藤氏は、「米国防総省が従前のテロよりサイバー攻撃のリスクの優先順位を高くしている」と指摘。日本でも「IT利活用セキュリティ総合戦略推進部会」が内閣府に設置されたことに触れ、「政府が動き出した」と評価した。そして企業は、「ハックされたことに気づいている企業と、気づいていない企業の2種類しかない」、「認識を上げることが課題」とした。また、空調機や冷蔵庫などの家電もインターネットと接続される現状にセキュリティが追いついておらず、これからは「最初からセキュリティを設計して埋め込む」ことが大事だと提起した。
代表取締役社長
竹内 文孝 氏
「セキュリティツールだけでは十分な対策ができない時代だ」と強調したのは竹内氏。企業は被害を受けると同時に、加害者になるリスクもある。サービスが停止する損失も考えて対策しておいたほうがいいと話した。一方で、オンラインバンキングを例に「セキュリティを強化することで競争力が高まる面もある」と示唆。セキュリティの高いサービスや企業を選ぶ消費者が増えていくだろうと述べた。
名和 利男 氏
インシデント対応の豊富な実務経験を持つ名和氏は、非公開のインシデントのものも含めて、企業や組織から盗まれた個人情報の総計が、昨年で1億6000万件もあったことを紹介。普段利用しているサイトが突然「マルウエア(有害なソフトウエア)」に感染する事例も出ているとし、「被害は広がっている。経営者はもっとセキュリティに真摯に向き合う必要がある」とした。また、海外で起こった大規模サイバー攻撃の実例を紹介。日本でも昨年9月、少人数の攻撃者により、中堅企業のウェブサイトが一斉に百数十も改ざんされた事案に触れ、高度化するサイバー犯罪に警鐘を鳴らした。
パートナー 弁護士
大井 哲也 氏
大井氏は法律の専門家という立場から、個人情報の流出の際に顧客は企業に損害賠償を求め、その企業は「脆弱性のあるシステム」を提供したベンダーに賠償を求めることもありえると指摘。サイバー攻撃によりサービスが提供できなくなると、逸失利益も大きい。海外からハッキングされた場合、攻撃者を民間レベルで追及するのは困難だ。「だからこそ、平時からセキュリティのリスク分析と、どこが弱いか把握しておくことが重要」と話した。
ディレクター
山本 直樹 氏
コンサルティングの立場から山本氏は、セキュリティ対策を「抑止、防御、検知、復元」という四つの分野に分け、「多くの企業は防御を厚くしているが、検知や復元の能力が弱いこともある」と指摘。インサイダーの攻撃にも注意を促した。また、海外企業を買収した際、セキュリティのポリシーの違いと現状把握の難しさに直面するケースが多い。そして、日本の企業がセキュリティ投資に消極的な原因の一つは、「投資の費用対効果」をきちんと測定していないことにもある。「定量的な評価だけではなく、定性的な評価も併せて判断する必要がある」と提起した。
最後に松崎氏は、「セキュリティ投資が成否を分ける。そこを組織の長に理解させることが必要」と強調。投資の評価をして、次の投資を引き出すというサイクルを回すことが、企業の取るべきアクションだと結論付けた。
