巧妙化するサイバー攻撃、企業の生き残りに求められる「経営力」

自社がサイバー攻撃を受けた場合、「具体的にどのような被害が発生するのか」「問題なく事業を継続できるのか」といったリスクについて、経営層が正確に把握している企業はどのくらいあるのでしょうか。サイバー攻撃が日々巧妙化し、その被害が拡大している中、企業の経営者にとってサイバー攻撃に対するリスクマネジメントが重要な経営課題の一つになっています。

一方で、サイバーセキュリティーに関連するリスクへの認識はさまざまで、その対策も企業ごとに異なっているのが実情です。情報システム部などの「現場レベル」でリスクを判断し、対応を進めている企業も少なくありません。

十分な対策を講じている組織がある一方で、対策の甘さを突かれ、サイバー攻撃によって経営を左右するような大きなダメージを負ってしまう企業もあります。

企業として最低限取り組むべき課題は何か、政府が一つの指標を示しました。経済産業省が2015年12月に公表した「サイバーセキュリティ経営ガイドライン」です。

政府の年次計画に盛り込まれた「サイバーセキュリティ経営ガイドライン」

「サイバーセキュリティ経営ガイドライン」は、有識者で構成された情報処理推進機構（IPA）の検討会を経て策定されました。大企業、中規模企業において、サイバーセキュリティー対策が、明確に「経営課題である」と示されたのです。

「セキュリティーを経営課題として捉えること」そのものは、特に目新しい考え方ではありません。ISMS（Information Security Management System）やプライバシーマークといった情報セキュリティーに関するマネジメントシステムの導入も、徐々に進んでいます。しかしその一方で、セキュリティー対策への取り組みが、担当部門の現場レベルにとどまる企業もあり、「経営層が取り組むべき課題」と捉えていない企業も少なくなかったといえます。

そこに「サイバーセキュリティ経営ガイドライン」が一石を投じました。セキュリティーは経営者が取り組むべき「経営責任」の一つであり、リーダーシップを発揮するように求めたのです。

第三次安倍内閣では、2015年に「サイバーセキュリティ戦略」を策定し、サイバーセキュリティーに対し国を挙げて取り組むことを重要な政策課題に位置付け、同戦略における2016年度の年次計画「サイバーセキュリティ2016」※で、同ガイドラインの普及を掲げています。

※本記事執筆時点では、「サイバーセキュリティ2016」は正式決定前の案の状態です。

ただし、あくまでガイドラインであり、法的拘束力はなく、経営者が取るべき方策の大枠を設定したに過ぎません。しかし、株式市場への情報開示について検討が進められるなど、今後企業に求められるセキュリティーガバナンスは、ますます高くなることが予想されます。経営者にセキュリティー対策を促すメッセージの一つといっても良いでしょう。

「経営者のリーダーシップ」こそ、セキュリティー対策の原動力に