累計経営者300人に取材
経営者の経営力を上げるメディア
IT投資・コンサルティングの経営者インタビュー
[PR]

株式会社神戸デジタル・ラボ 取締役 セキュリティソリューション事業部長 三木 剛

リスク分析による優先順位づけでサイバー攻撃の被害を最小限にする

IT化の進展とともに脅威を増すサイバー攻撃。一方で十分な備えを行っている企業は少数だ。こうしたなかサイバーセキュリティ対策の専門部署をもつ神戸デジタル・ラボの取締役を務める三木氏は「攻撃者は大企業だけを狙っているのではない。中小・ベンチャー企業も早急に対策構築に乗りだすべき」と指摘する。そこで、過剰でも過少でもない、適切な防御を構築する要諦を同氏に緊急取材した。

※下記は経営者通信42号(2016年12月号)から抜粋し、記事は取材時のものです。

「悪意のあるハッカー」にとって東京や西日本の区別はない

―国内企業のサイバーセキュリティ対策はどの程度、進んでいるのですか。

 重大性についての認識は深まっているものの、対策構築は思ったように進んでいないのが実態ですね。

 サイバーセキュリティ対策が強く意識されるようになったのは、2015年に発生した日本年金機構の個人情報漏えい事件。ウイルス感染により125万件もの個人情報が流出、社会を揺るがしました。同事件に関連して、サイバー攻撃の疑いのある海外から日本への不正アクセスが日常的に大量に発生している事実や、中小・ベンチャー企業もサイバー攻撃の被害に遭っている実状も盛んに報じられました。

 2014年に発生した大手通信教育企業の個人情報漏えい事件も衝撃的でした。この事案はサイバー攻撃ではなかったものの、事前の対策や事後対応のまずさにより顧客からの信用が失墜。ついにはトップが退任しました。

―深刻な事件が連続しているのに、なぜ対策が進んでいないのですか。

 3つの理由があります。ひとつは、おもに東京の企業で発生した事件が報道されること。企業の東京一極集中の弊害ですが、「狙われているのは東京に本社を構える企業」という間違った印象により、〝対岸の火事〟ととらえる東京以外の経営者が多いようです。しかし、悪意のあるハッカーにとって東日本とか西日本、九州といった線引きはありません。日本で活動している企業は等しく狙われているので、「対岸の火事」ではありません。

 次に、報道と同様、サイバーセキュリティ対策の専門企業の多くも東京に集中していること。東京以外の企業にとって気軽に相談できる専門家が近くにいないため、取引しているITベンダーに相談する経営者が少なくありません。しかし、そうした会社には専門ノウハウはありません。ITベンダーには対策ではなく、対策を相談できる専門企業を紹介してもらうべきでしょう。近在の専門企業が見つかる場合もあります。最後に投資コストの問題があります。

被害コストは年間2億円超「見える化」で適切な投資を

―IT機器の入れ替えなど、投資コストは高くつきそうですね。

 場合によっては新しい機器の導入などが必要になることは確か。しかし、トレンドマイクロ社が実施した調査結果によると、深刻なセキュリティインシデントを経験した場合の年間被害額は平均2億1050万円とのことです。ひとたび被害に遭えば事故証跡調査、Webサイトやシステム全体の改修など大規模投資が必要になるからです。警察などの当局への報告も必要。直接コストのほか、信用失墜を取り戻すための投資も余儀なくされるでしょう。

 しかし、サイバーセキュリティ対策に投資することで、こうした有形無形の膨大な被害発生を抑えることができます。どちらが結果的に安上がりかは明らかでしょう。それに、そもそも「高くつく」というのは誤解です。

―その意味を教えてください。

 「いつまでに、どこまでやればいいのか」が見えないため、いたずらに投資コストの問題がクローズアップされている側面が強いのです。

 しかし、自社の実状を把握し、優先順位をつけて、緊急度の高い対策から手を打っていくことで、過剰でも過少でもない、適切なサイバーセキュリティ投資を計画的に進めることが可能。そのため当社ではリスクアセスメントを行い、予算化を行う「リスク対策プランニング」というサービスを提供しています。

―その内容を教えてください。

 まず、当社の専門スタッフを派遣して現場担当者などから情報収集し、情報資産とその利用者やアクセス方法など、全貌を把握します。次に流出経路、脅威となる手段(リスク)を調査し、対応すべき優先度を設定。その次に必要な対策を運用面、システム面の両面で検討し、各リスクが顕在化した際の事例から具体的な影響を調査。その結果を報告書にまとめます。

 これらのリスク分析を行うことで、情報資産整理結果、アクセス経路図、リスク一覧、対策一覧、被害想定金額、事故事例といった知見やデータなどを蓄積することもできます。報告書には「リスク分析フレームワーク」と「松竹梅の対策案」が盛り込まれています。

―そのふたつは、どういったものですか。

 「リスク分析フレームワーク」は、どこに、どういったリスクが存在していて、その影響度や発生確率を分析。対策の優先度を「高・中・低」で表します。
「松竹梅の対策案」は、分析結果から予測されるリスク高に対して、3段階にランク付けした対策案を明示。対策後のリスクレベルや、早期・中期・後期といった実施時期、コスト感を一覧化したものです。

 この「リスク分析フレームワーク」と「松竹梅の対策案」を活用することで、対策の優先順位と費用感を〝見える化〟。適切で合理的なサイバーセキュリティ対策計画を策定することができるのです。

 ヒアリングからレポーティングまでは、およそ1ヵ月程度です。

サイバーセキュリティは「経営問題」と国も指摘

―リスク分析を依頼する際のベンダーの選び方を教えてください。

 経済産業省のWebサイトに掲載されている「情報セキュリティ監査企業台帳」の登録企業は信頼できる指標のひとつです。

 なかでも「セキュリティ監査業務」を実施している専門企業に依頼されるといいでしょう。その際、対策構築や運用サポートもオールインワンで実施できる企業に依頼するのが便利です。同台帳では登録企業の提供業務を一覧できます。

―最後に、経営者へのアドバイスを聞かせてください。

 2015年末に経済産業省は「サイバーセキュリティは経営問題」との書き出しで始まる「サイバーセキュリティ経営ガイドライン」を策定しました。そこでは、サイバーセキュリティ対策は「経営者がリーダーシップをとって推進すべき」で、「系列企業やサプライチェーンのビジネスパートナーを含めた対策が必要」としていることから、大企業だけではなく、取引関係にある中小・ベンチャー企業を含めたオールジャパンで対策を推進する必要性が指摘されています。

 さらに「重要10項目」として、具体的な施策の中身も提示されています。それだけに経営者のみなさんには、わからないから現場部門に丸投げするのではなく、「自社のこと」「自分のこと」として常に意識し、情報収集も行い、サイバーセキュリティ対策を推進してほしいですね。

 私は兵庫県警察サイバーセキュリティ対策アドバイザーを務めており、共同でサイバーセキュリティ対策の啓もう・啓発活動などを地元の関西で行っているほか、西日本エリアでもセミナーなどを行っています。どのメーカー系列にも属していない独立企業なので、最適な対策プランを策定することも可能。リスク分析のほか、不正通信監視、セキュリティ教育、事故対応サポートにも多くの実績があります。これからも多くの企業のサイバーセキュリティ対策を支援し、安全安心な社会づくりに貢献していきたいですね。

いまや「サイバー攻撃」はあらゆる企業にとって大きな潜在的脅威だ。ここでは神戸デジタル・ラボの支援で強固なサイバーセキュリティ対策の構築に成功した神戸ポートピアホテルとコスモライフの2社に取材した。

 2016年9月上旬に当ホテルで開催されたG7保健大臣会合でのサイバーセキュリティ対策を神戸デジタル・ラボにサポートしてもらいました。同会合は伊勢志摩サミットに関連して開かれた関係閣僚会議で、G7加盟国の保健担当大臣、EUや国際機関などの保健担当者が一堂に会する国際会議です。

 開催を控え、当ホテルの担当役員、担当部署のメンバー、兵庫県警、神戸デジタル・ラボからなる「サイバー攻撃対策委員会」を組織。具体的な施策の推進は神戸デジタル・ラボに担ってもらいました。

心強い豊富な知見

 おもなサポート内容は、(※)WAF導入支援、インシデント対応マニュアル策定、保健大臣サミット開催期間中の24時間オンサイト監視。とくにインシデント対応マニュアルでは、神戸デジタル・ラボはわれわれが知り得ない詳しい情報を豊富にもっていることから、適切な体制を組むことができました。

 サイバー攻撃対策はお客さま満足を至上命題とするホテルにとり、最重要施策のひとつ。新年をお祝いするおせち料理も、そのひとつです。今シーズンは和洋中7種類を用意しました。これからもすべてのお客さまに笑顔を届けられるホテルであり続けたいですね。

※WAF : Web Application Firewallの略。Webサイト上のアプリケーションに特化したファイアウォール

 当社は日本有数の❝水の名産地❞で採取した天然水を、約30万人のお客さまに使い切りタイプの「ワンウェイ宅配システム」でお届けしています。ブランド名は「コスモウォーター」。多くのお客さまの個人情報をお預かりしていることから、個人情報保護マネジメントシステム(PMS)を構築するなど、かねてよりその取扱いには万全を期してきました。

 さらに、潜在的脅威が日増しに高まっているサイバー攻撃についても対策を講じるべきと判断。重要な施策だけにヒザを突き合わせて話し合える環境を求め、当社の地元である兵庫県に本社を置き、サイバーセキュリティ対策支援の実績が豊富にある神戸デジタル・ラボにサポートを依頼しました。

説明もわかりやすい

 具体的には、リスク分析、セキュリティポリシーの策定支援などです。リスク分析では費用感を❝見える化❞しながら優先度の高い施策から順に示してくれたので、スムーズに対策の構築を進めることができました。

 現場レベルと経営レベルで言葉を使い分け、難しい専門用語ではなく、わかりやすい説明を心がけてくれた点もよかったですね。おかげで製品と同様に情報セキュリティの面でもお客さまに安全・安心を提供し続けていける体制が整いました。

三木 剛(みき つよし)プロフィール

1970年生まれ。商社で海外向け商品企画、国内大手販社へのセールスを経験後、2007年に株式会社神戸デジタル・ラボに入社。2010年営業部長、2012年にセキュリティソリューション事業部長を経て、2014年12月取締役に就任。兵庫県警察サイバーセキュリティ対策アドバイザーを務める。

株式会社神戸デジタル・ラボ

設立 1995年10月
資本金 2億995万円
売上高 17億7,000万円(2015年9月期)
従業員数 168名(2016年10月1日現在)
事業内容 ITコンサルティングサービス、システム開発・運用・保守、Webプロモーション、クラウドサービス、スマートデバイスアプリ開発、情報セキュリティサービス、先端技術開発 
URL http://www.kdl.co.jp/
お問い合わせ電話番号 サイバーセキュリティ対策、リスク分析に関する資料請求・問い合わせ先はコチラ 0120-996-535(受付時間 平日10:00~18:00)
お問い合わせURL https://www.proactivedefense.jp/contact/

※このサイトは取材先の企業から提供されているコンテンツを忠実に掲載しております。ユーザーは提供情報の真実性、合法性、安全性、適切性、有用性について弊社(イシン株式会社)は何ら保証しないことをご了承ください。自己の責任において就職、転職、投資、業務提携、受発注などを行ってください。くれぐれも慎重にご判断ください。

月間人気記事ランキング集計期間:6/24~7/23

  • 海外で活躍する経営者のインタビューサイト Japan Business Headline
  • 海外で活躍する日本企業を増やす総合情報サイト ヤッパン号
  • ベンチャー支援のプロフェッショナル
  • 注目の西日本ベンチャー100
  • INOUZTimes
  • THAI GOOD COMPANY 100

経営者通信メールマガジン

経営者通信注目の企業や、ビジネスニュースなど経営者のための情報をお知らせします。

ご登録はこちら

経営者通信

経営者通信
経営者に贈る、経営者の"経営力"を上げる情報誌

全国の経営者向けに発刊している情報誌です。

経営者通信への掲載・取材希望の方

経営者に直接アプローチできる雑誌、経営者通信に貴社の取材記事を掲載してみませんか?

pagetop