累計経営者300人に取材
経営者の経営力を上げるメディア
IT投資・コンサルティングの経営者インタビュー
[PR]

株式会社神戸デジタル・ラボ 取締役 セキュリティソリューション事業部長 三木 剛

リスク分析による優先順位づけでサイバー攻撃の被害を最小限にする

IT化の進展とともに脅威を増すサイバー攻撃。一方で十分な備えを行っている企業は少数だ。こうしたなかサイバーセキュリティ対策の専門部署をもつ神戸デジタル・ラボの取締役を務める三木氏は「攻撃者は大企業だけを狙っているのではない。中小・ベンチャー企業も早急に対策構築に乗りだすべき」と指摘する。そこで、過剰でも過少でもない、適切な防御を構築する要諦を同氏に緊急取材した。

※下記は経営者通信42号(2016年12月号)から抜粋し、記事は取材時のものです。

「悪意のあるハッカー」にとって東京や西日本の区別はない

―国内企業のサイバーセキュリティ対策はどの程度、進んでいるのですか。

 重大性についての認識は深まっているものの、対策構築は思ったように進んでいないのが実態ですね。

 サイバーセキュリティ対策が強く意識されるようになったのは、2015年に発生した日本年金機構の個人情報漏えい事件。ウイルス感染により125万件もの個人情報が流出、社会を揺るがしました。同事件に関連して、サイバー攻撃の疑いのある海外から日本への不正アクセスが日常的に大量に発生している事実や、中小・ベンチャー企業もサイバー攻撃の被害に遭っている実状も盛んに報じられました。

 2014年に発生した大手通信教育企業の個人情報漏えい事件も衝撃的でした。この事案はサイバー攻撃ではなかったものの、事前の対策や事後対応のまずさにより顧客からの信用が失墜。ついにはトップが退任しました。

―深刻な事件が連続しているのに、なぜ対策が進んでいないのですか。

 3つの理由があります。ひとつは、おもに東京の企業で発生した事件が報道されること。企業の東京一極集中の弊害ですが、「狙われているのは東京に本社を構える企業」という間違った印象により、〝対岸の火事〟ととらえる東京以外の経営者が多いようです。しかし、悪意のあるハッカーにとって東日本とか西日本、九州といった線引きはありません。日本で活動している企業は等しく狙われているので、「対岸の火事」ではありません。

 次に、報道と同様、サイバーセキュリティ対策の専門企業の多くも東京に集中していること。東京以外の企業にとって気軽に相談できる専門家が近くにいないため、取引しているITベンダーに相談する経営者が少なくありません。しかし、そうした会社には専門ノウハウはありません。ITベンダーには対策ではなく、対策を相談できる専門企業を紹介してもらうべきでしょう。近在の専門企業が見つかる場合もあります。最後に投資コストの問題があります。

被害コストは年間2億円超「見える化」で適切な投資を

―IT機器の入れ替えなど、投資コストは高くつきそうですね。

 場合によっては新しい機器の導入などが必要になることは確か。しかし、トレンドマイクロ社が実施した調査結果によると、深刻なセキュリティインシデントを経験した場合の年間被害額は平均2億1050万円とのことです。ひとたび被害に遭えば事故証跡調査、Webサイトやシステム全体の改修など大規模投資が必要になるからです。警察などの当局への報告も必要。直接コストのほか、信用失墜を取り戻すための投資も余儀なくされるでしょう。

 しかし、サイバーセキュリティ対策に投資することで、こうした有形無形の膨大な被害発生を抑えることができます。どちらが結果的に安上がりかは明らかでしょう。それに、そもそも「高くつく」というのは誤解です。

―その意味を教えてください。

 「いつまでに、どこまでやればいいのか」が見えないため、いたずらに投資コストの問題がクローズアップされている側面が強いのです。

 しかし、自社の実状を把握し、優先順位をつけて、緊急度の高い対策から手を打っていくことで、過剰でも過少でもない、適切なサイバーセキュリティ投資を計画的に進めることが可能。そのため当社ではリスクアセスメントを行い、予算化を行う「リスク対策プランニング」というサービスを提供しています。

―その内容を教えてください。

 まず、当社の専門スタッフを派遣して現場担当者などから情報収集し、情報資産とその利用者やアクセス方法など、全貌を把握します。次に流出経路、脅威となる手段(リスク)を調査し、対応すべき優先度を設定。その次に必要な対策を運用面、システム面の両面で検討し、各リスクが顕在化した際の事例から具体的な影響を調査。その結果を報告書にまとめます。

 これらのリスク分析を行うことで、情報資産整理結果、アクセス経路図、リスク一覧、対策一覧、被害想定金額、事故事例といった知見やデータなどを蓄積することもできます。報告書には「リスク分析フレームワーク」と「松竹梅の対策案」が盛り込まれています。

―そのふたつは、どういったものですか。

 「リスク分析フレームワーク」は、どこに、どういったリスクが存在していて、その影響度や発生確率を分析。対策の優先度を「高・中・低」で表します。
「松竹梅の対策案」は、分析結果から予測されるリスク高に対して、3段階にランク付けした対策案を明示。対策後のリスクレベルや、早期・中期・後期といった実施時期、コスト感を一覧化したものです。

 この「リスク分析フレームワーク」と「松竹梅の対策案」を活用することで、対策の優先順位と費用感を〝見える化〟。適切で合理的なサイバーセキュリティ対策計画を策定することができるのです。

 ヒアリングからレポーティングまでは、およそ1ヵ月程度です。

サイバーセキュリティは「経営問題」と国も指摘

―リスク分析を依頼する際のベンダーの選び方を教えてください。

 経済産業省のWebサイトに掲載されている「情報セキュリティ監査企業台帳」の登録企業は信頼できる指標のひとつです。

 なかでも「セキュリティ監査業務」を実施している専門企業に依頼されるといいでしょう。その際、対策構築や運用サポートもオールインワンで実施できる企業に依頼するのが便利です。同台帳では登録企業の提供業務を一覧できます。

―最後に、経営者へのアドバイスを聞かせてください。

 2015年末に経済産業省は「サイバーセキュリティは経営問題」との書き出しで始まる「サイバーセキュリティ経営ガイドライン」を策定しました。そこでは、サイバーセキュリティ対策は「経営者がリーダーシップをとって推進すべき」で、「系列企業やサプライチェーンのビジネスパートナーを含めた対策が必要」としていることから、大企業だけではなく、取引関係にある中小・ベンチャー企業を含めたオールジャパンで対策を推進する必要性が指摘されています。

 さらに「重要10項目」として、具体的な施策の中身も提示されています。それだけに経営者のみなさんには、わからないから現場部門に丸投げするのではなく、「自社のこと」「自分のこと」として常に意識し、情報収集も行い、サイバーセキュリティ対策を推進してほしいですね。

 私は兵庫県警察サイバーセキュリティ対策アドバイザーを務めており、共同でサイバーセキュリティ対策の啓もう・啓発活動などを地元の関西で行っているほか、西日本エリアでもセミナーなどを行っています。どのメーカー系列にも属していない独立企業なので、最適な対策プランを策定することも可能。リスク分析のほか、不正通信監視、セキュリティ教育、事故対応サポートにも多くの実績があります。これからも多くの企業のサイバーセキュリティ対策を支援し、安全安心な社会づくりに貢献していきたいですね。

※このサイトは取材先の企業から提供されているコンテンツを忠実に掲載しております。ユーザーは提供情報の真実性、合法性、安全性、適切性、有用性について弊社(イシン株式会社)は何ら保証しないことをご了承ください。自己の責任において就職、転職、投資、業務提携、受発注などを行ってください。くれぐれも慎重にご判断ください。

月間人気記事ランキング集計期間:2/28~3/29

  • 海外で活躍する経営者のインタビューサイト Japan Business Headline
  • 海外で活躍する日本企業を増やす総合情報サイト ヤッパン号
  • ベンチャー支援のプロフェッショナル
  • 注目の西日本ベンチャー100
  • INOUZTimes
  • THAI GOOD COMPANY 100
  • 高知リフレッシュオフィス

経営者通信メールマガジン

経営者通信注目の企業や、ビジネスニュースなど経営者のための情報をお知らせします。

ご登録はこちら

経営者通信

経営者通信
経営者に贈る、経営者の"経営力"を上げる情報誌

全国の経営者向けに発刊している情報誌です。

経営者通信への掲載・取材希望の方

経営者に直接アプローチできる雑誌、経営者通信に貴社の取材記事を掲載してみませんか?

pagetop