日本は他国と比較してサイバーセキュリティーの投資の少なさが際立っています。経済安全保障の重要性が高まる中、企業のセキュリティー投資の在り方について今回はお話いたします。是非最後までご覧ください。
目次
1.「3つの脆弱性」と日本企業の備え
2.セキュリティー部門だけの問題にあらず
3.まとめ
1.「3つの脆弱性」と日本企業の備え
現在、サイバー攻撃どころか、一般的なセキュリティー対策も十分ではない企業があるのが現実です。なぜ企業は自社のネットワークを侵害されるのでしょうか。米国サイバー軍初代司令官及び国家安全保障局長官を務めたキース・アレグザンダー氏は「3つの脆弱性」でその原因を説明しているのでご紹介いたします。
①いまだ公開されていない「未知の脆弱性(ゼロデイ)」
②公開済みの「既知の脆弱性」への対応の遅れ
③設定ミスや不適切なパスワード管理などの「人間の脆弱性」
コロナ禍で在宅勤務が増え、社外から社内ネットワークに接続するための「仮想プライベートネットワーク(VPN)」の重要性が高まっています。そうした中、20年8月、米パルス・セキュア者のVPN機器の脆弱性が悪用され、国内外900社が不正アクセスや情報漏洩などの被害にあったと報じられました。しかし、この脆弱性と修正プログラムは約1年前に公開されており、多くの企業は「既知の脆弱性」に対応できなかった結果、被害にあったといえます。米Bad Packets社の分析によれば、他の先進諸国と比べ、日本のこの脆弱性への対応は低く、もちろん、修正プログラムは簡単に適用できるものではなく、日本の対応率の低さはVPN機器調達の商流に起因して、メーカーからの脆弱性情報が伝わりにくいなどの日本固有の事情もあるが、それでも対応率の低さは、対応要員をはじめとした日本企業のセキュリティー「投資」の低さを反映している可能性があります。
企業において、ITやサイバーセキュリティーへの投資を判断するするのは、基本的には投資額により異なるが、金額が大きくなるにつれ、①IT・セキュリティー部門や担当役員(加えて、経営会議や専門委員会などで検討される場合もあります②取締役会となる(ただし投資額が小さくとも、企業経営に与えるインパクトやリスク量が大きい投資案件も上位権限での承認を要することが一般的です。)
2.セキュリティー部門だけの問題にあらず
実際には、IT・セキュリティー投資は比較的高額となるため、取締役会での審議・承認を要することが多いです。つまり、関係する業務執行役員や全ての取締役はサイバーセキュリティーに関する一定の理解が求められています。さらに、IT・セキュリティー以外の経営判断・意思決定にもサイバーセキュリティーへの考慮が期待されてます。
3.まとめ
いかがでしたでしょうか?
経営層が細かいサービス設計やセキュリティー技術まで把握している必要はないですが、二要素認証のようなビジネスモデルやサービス設計の核心となるようなセキュリティーに関する知識は必須です。そうでなければ、新規事業展開に関する意思決定や必要なセキュリティー投資に関する妥当な判断はできません。そのため、経営層に期待されるセキュリティー知識は時代・状況とともに変化するため、普段のアップデートが求められています。
サイバー攻撃の手法が高度化し、影響が大きくなる中で、経済安全保障の文脈でもサイバーセキュリティーの重要性が高まってきている。全ての経営層や取締役はIT・セキュリティー担当役員・部署に任せきるのではなく、あらゆる分野にサイバーセキュリティーが関わっているため、広い意味での攻撃者・脅威の動向は外部機関によるレポートを活用しながら、IT・セキュリティー担当以外の経営層も把握するべきです。