サイバーセキュリティ対策が
企業経営者の重要なテーマの一つに プライスウォーターハウスクーパース

進むサイバーセキュリティ対策の法制化

政府も法制化などを進めている。2014年11月には「サイバーセキュリティ基本法」が成立した。金融庁などからはすでに監督指針や検査マニュアルの改正案が公表されている。金融庁ではさらに16年をめどに、上場企業におけるサイバー攻撃によるインシデントの可能性などについて、米国の証券取引委員会（SEC）における取り組みなどを参考にしながら、有価証券報告書などに開示する仕組みを導入しようとしている。これらは、IT部門だけで行うことはできないことは言うまでもない。明確に経営者の課題だ。取り組みを怠ることがあれば、株主などの投資家だけでなく、消費者からもそっぽを向かれることになるだろう。

「たとえば、内部犯行の対策として操作ログなどを残すのも一つの方法です。犯罪の防止だけでなく、万一の際には、無罪の従業員を守ることができます。もちろん、正確な情報の開示にもつながります」

「サイバーセキュリティセンター」が対策を支援

操作ログを残すといった取り組みは、セキュリティ対策の一つとして有効だが、CEOなど経営トップが自らそれをチェックするというのは現実的ではない。

「欧米ではCISO（Chief Information Security Officer）と呼ばれる、役員クラスのポジションがあります。CEOはCISOの任命や権限委譲のほか、自社のセキュリティアーキテクチャの点検やモニタリング、インシデント対応体制の強化、グローバルガバナンスなど、大きな観点でセキュリティ対策に取り組むべきです」

海外企業のM＆Aなどが一般化する中で、グループ企業も含め一貫性のあるセキュリティ対策を実現することは容易ではないが、その点で、山本氏の所属するPwCは、大いに頼りになる存在だ。同社は世界157カ国に19万5000人のスタッフを擁する。そのうちの2000人がサイバーセキュリティの専任コンサルタントだ。

さらに同社の「サイバーセキュリティセンター」は、「ウエスト（米国）」、「セントラル（英国）」、「イースト（豪州）」の3つのハブを置き、グローバルな知見と統合的なソリューションを提供してくれる。具体的には、ガバナンスや対策の有効性評価などを行う「セキュリティアセスメント」、グランドデザインやロードマップ策定、構築支援などを行う「セキュリティコンサルティング」、インシデント発生時の調査や対応支援などの「インシデントレスポンス」などのサービスをワンストップで実施するほか、グローバルな動向調査やレポート、サーベイなどの情報も提供してくれる。

「地政学的なリスクも含め、さまざまな環境変化が起こっている中で、サイバーセキュリティ対策も経営者にとって避けて通れないテーマになっています。と言っても、1社でできることには限りがあります。さまざまな企業との情報連携も必要です。本気になって取り組めば必ず解決できる問題だと感じています。ぜひ、わたしたちと一緒になって、取り組みを始めてほしいと願っています」と、山本氏は力を込める。