サイバー攻撃のリスクが高まり、企業の信頼が「サイバーセキュリティ成熟度」で測られる時代。
中堅・スケールアップ企業はいかに最適なセキュリティ投資を実現できるのか。インフォセックアドバイザリー代表・藤田哲矢が戦略的アプローチを語る。
デジタル化の進展で現場とサイバー空間の距離が縮まるなか、企業の信頼性は「サイバーセキュリティ成熟度」で測られる時代に突入した。その時流に沿って大企業がセキュリティ投資を進める一方、中堅・スケールアップ企業では効果的な投資が実行できていない。そう語るのは、企業のサイバーセキュリティ診断・コンサルティングを中心に事業を展開するインフォセックアドバイザリー代表の藤田哲矢(以下、藤田)だ。
「大企業では、セキュリティが情報システム部から独立した組織“セキュリティ統括部”として設置されており、経営層と直接連携しながら戦略的に予算が組まれています。対して中堅企業では、セキュリティ担当が情報システム部門の一機能として位置づけられていることが多く、IT全体の予算のなかから後付けでセキュリティ対策費用が割り当てられている。この組織構造の違いが、セキュリティ投資の深度や網羅性に影響を与えています。
つまり“戦略的投資”ではなく“保守的投資”でセキュリティをとらえられているかが分岐点になっているということです」
これを踏まえてインフォセックアドバイザリーではNISTサイバーセキュリティフレームワーク2.0に基づく6つのフェーズでの体系的投資を提唱している。
「このフレームワークは、平時の予防活動(特定・保護)と有事の対応活動(検知・対応・復旧)、そしてガバナンスというフェーズに大別されます。重要なのは、それぞれの段階で必要な施策を明確にすること。
例えば、『特定』ではリスクアセスメントやペネトレーションテスト(模擬攻撃による脆弱性検証)などで脆弱性を可視化し、『保護』ではアクセス制御や教育、データバックアップなどを整備します。『検知』では不正アクセスの監視、ログ管理を強化し、インシデントを早期に察知。『対応』ではインシデント対応の確立やCSIRT(セキュリティインシデント対応チーム)の整備、訓練を通じて初動を迅速化します。
そして『復旧』では、業務や生産活動を元の水準に戻すための復旧手順や関係者対応を準備しておく。6つのフェーズを通じて技術・組織・人材にバランスよく投資することで、セキュリティレベルを着実に高められるのです」
とはいえ、経営層が「必要な投資額」と「投資対効果」を正しく把握することは非常に難しい。そこで有効なのは、セキュリティ上の潜在的なリスクに対し、発生確率と影響度を踏まえたうえで、投資対効果を見極めて意思決定することだという。
「例えば、『一度発生すれば影響は甚大だが、発生確率は非常に低いリスク』と『発生頻度は高いが、被害が比較的小さいリスク』では、経営判断に応じて対策の優先度が異なります。その判断を支えるのが、セキュリティリスクの可視化と、投資判断に資する定量的な分析だと考えています」
投資判断の入り口になるのは、業務が「どれだけ止まっても事業として耐えられるか」を示す許容停止時間、いわゆる RTO(Recovery Time Objective)だと藤田は説く。
インシデント発生時のビジネス影響度とリスク許容度の時系列変化
「もっとも RTO は“指標”にすぎず、真に重視すべきは停止によって失われる売り上げや利益、すなわち経営が許容できる損失額です。まずは、どの業務が止まれば事業に深刻な打撃を与えるかを洗い出し、停止1時間・1日あたりの損失を金額で可視化する。試算した額が許容上限をわずかでも超える恐れがある領域には、ためらわず相応のセキュリティ対策を投じる。それこそが最も合理的な経営判断となります」
その教訓を浮き彫りにしたのが、2017 年にランサムウェア「NotPetya」の直撃を受けた、オレオやリッツで知られる菓子大手 モンデリーズの事例だ。経営陣はリスク評価に基づき「1インシデント最大1億ドルまで」と損失上限を設定していたものの、実際の被害額は約1億8,800万ドルに達し、想定の2倍近い自社負担を余儀なくされた。許容損失を過小評価すると代償は一気に跳ね上がる。まさに経営がリスクと投資を見誤らないことの重要性を示す象徴的なケースである。
現場リスクが経営リスクに連鎖する
サイバー攻撃への備え
セキュリティ投資判断を誤ると、必要のない機能にコストをかけたり、本当に必要な対策が手薄になったりするリスクがある。では、実際に製造業においてサイバー攻撃が発生した場合、どのようなプロセスを経て被害が拡大していくのだろうか?
「例えば製造業の場合、安全性・環境・品質・コスト・納期の5つを軸に、現場のリスクを管理し、安定した生産活動を維持しています。ところが、各項目について対策を講じていても、サイバー攻撃を受けるとすべての項目が連鎖的に影響を受ける可能性があります。ランサムウェア(身代金要求型の悪意あるソフトウェア)によって生産ラインが停止すると納期は遅れ、急な工程変更で品質に問題が生じる可能性が高まる。さらに、混乱のなかで人件費が増加し、コストもかさみます。
結果、納期遅延、顧客からの信用低下、契約トラブルや損害賠償、売り上げ減少・資金繰り悪化、倒産リスクの増大という流れが現実に起こりえます」
そのため、サイバー攻撃も「現場リスクの一種」ととらえ、包括的なセキュリティ対策を平時から組み込んでおくことが、製造業にとっては不可欠になる。同時に、中堅・スケールアップ企業が取引先や金融機関からの信頼を獲得するためには、自社のサイバーセキュリティ対策の“透明性”を高めることが重要だ。
「自社の弱みを見せることになるのではと懸念される方もいますが、むしろリスクを隠して後から事故が発覚するほうが、信頼の失墜につながるでしょう。サイバー攻撃を受けた場合でも、事前にその利用状況や管理方針をステークホルダーと共有していれば信頼関係を維持できます。
実施している対策をドキュメントや証跡として整理し、外部に説明できる状態にする。情報開示の準備をしておくことは、取引先からのセキュリティ評価にも直結します」
国内外のサプライチェーンセキュリティコンソーシアムに委員として活動を牽引している藤田が提示した、想定されるビジネス損失に基づいた投資判断。弱みを隠さず、対策の進捗とリスク認識の姿勢を“見せる”ことが、企業の信頼獲得と成熟度向上につながっていくだろう。
Infosec Advisory
https://www.infosec.jp
ふじた・てつや◎一橋大学大学院商学研究科修了(MBA)、INSEAD AMP修了。ソフトバンク、アクセンチュアを経て2017年に現インフォセックアドバイザリーを設立。中堅・大手企業のサイバーセキュリティアドバイザリー業務に従事。SC3の国際WGでも活動。
