サイバーセキュリティにおける経営層の課題は「意思決定」の経験・スキル不足 – 名和利男氏に聞く、経営層とセキュリティ担当者が果たすべき役割（前編）

サイバーセキュリティの「意思決定」に悩む経営層や中間管理職は多い

近年、企業から寄せられるサイバーセキュリティ関連の相談にはどのようなものがありますか。

相談は大きく2つのパターンに分けられます。1つは実際にサイバーインシデントが発生しているパターンです。最も多いのは、生産拠点や海外拠点における、IT部門が直接管轄していない生産・運用システムが関係するインシデントです。こうしたシステムはビジネス全体や売上に直結するものであるにもかかわらず、当該拠点の責任者の裁量が大きいがゆえに本社のセキュリティ対策部門は積極的に指示を与えることが容易ではなく、対処に苦慮している例が散見されます。インシデントに関するテクニカルな内容というよりは、組織間の仕組みや構造に起因する悩み事について内々に相談が来ることが多いですね。

もう1つのパターンは、インシデントが発生していない段階での事前相談です。競合他社が被害を受けたという情報を得たり、政府や公的機関、業界団体、警察などから提供されるガイドラインへの準拠や対応を求められたりするなかで、「自社はどうしていくべきか」という漠然とした相談を受けることもあります。

どちらのパターンも、社内外で得た情報をもとに、どのようにサイバーセキュリティ分野でのリーダーシップを取ればいいのか、具体的にどのような意思決定をすればいいのかがわからず、難儀しているということでしょう。おそらく私が経営層クラスへのセキュリティレクチャーを多く請け負っているからだろうと思いますが、いずれの相談も、直接的または間接的に、経営層や中間管理職の方から寄せられることが多いです。

インシデントが発生してから相談が来るケースが多いということですが、そのタイミングでの相談でも問題なく対処できるのでしょうか。

さまざまなケースがありますが、平均して手遅れです。社内のセキュリティ対策組織が整備されていたとしても、実質的な事前対策がとれていなかったり検知・分析に時間がかかってしまったりすることでインシデントが制御できなくなり、瀕死の状態になっているケースもあります。

そのため、インシデントが起きてしまった際に、できるだけ早期に対応支援に着手できるよう、数年前から一部の企業や団体とは専属的な契約を締結し、インシデントが発生した数時間後には連絡が来るようになっています。インシデント時の一連の対応プロセスに助言したり、あるいは他の組織が行った調査結果の解釈を提供したりするなど、企業の意思決定支援を行っています。

インシデント対応の知見と経験を得るのに有効な「机上演習」

サイバーセキュリティ対策において、経営層が意思決定に難儀する要因はどこにあるのでしょうか。

限られた情報をもとに意思決定をするための経験やスキルが不足しているような印象があります。「学問なき経験は、経験なき学問に勝る」ということわざがありますが、サイバーセキュリティ対策においても同様のことがいえます。

昭和時代からキャリアを重ねてきた経営層の方の多くは、平成を経て現在の令和に至るまで、デジタルに関するトラブルの経験や、それに対応して解決した経験がほとんどなく、誰かから伝えられた知識をそのまま受け入れてしまっています。知識と経験が乖離していることで、誤った指示を出してしまうケースがあるのです。

経営層はどのようにサイバーセキュリティ対策の経験を積んでいくべきでしょうか。

模擬経験を積む。その一言に尽きます。米国国土安全保障省サイバーセキュリティインフラセキュリティ庁（CISA）、英国国家サイバーセキュリティセンター（NCSC）などの機関は、サイバーセキュリティ演習が行えるマテリアルやオンラインサービスを中間意思決定層向けに提供しています。こうした机上演習はリーズナブルで、準備するものや期間が少なくて済むため、日本以外の主要国では推進されており、実際に海外企業の活用事例も多く好評です。国内でも、宇宙システムの領域においては官民による机上演習が毎年行われていますが、残念ながら一般企業にはそこまで普及していないのが実情です。

机上演習にはどのような特徴がありますか。

机上演習で用いるサイバーインシデントのシナリオは、一般に公開されていない最近のインシデント事例と内部事情を踏まえて作成されています。短時間で模擬的に経験することで、実際のインシデント対応と同様の知見と経験を得ることができるのです。国家安全保障に関わる機関は情報のハブとなっているため、最新の情報を反映し、最も多く発生し組織に被害を与えうるシナリオとそれに伴う時系列のイベントを作成することができます。参加者の想像力を鍛えるため、シナリオは起承転結のストーリー性があるものとなっており、行動科学にもとづくストーリーテリングの手法をベースとして構成されています。

「経営層の意識をどう変えるか」はセキュリティ担当者が考えることではない

経営層と中間管理職では必要な経験・知識は異なりますか。

中間管理職は、現場からのテクニカルな情報を豊富に持っている一方、経営層は状況から導かれる結果に注目します。組織のヒエラルキー構造のなかで現場に近いほどテクニカルな情報は厚くなり、上層にいくほど利益や損失などビジネス運用上のインパクトが重視されるということです。

こうしたギャップがあることを理解し、経営層には想像力を働かせるために現場のビジネスプロセスを深く理解しておくこと、中間管理職には、それに加えてテクニカルな部分も理解できていることが求められます。優秀な危機対応をされている経営層の方ほど、現場から情報を取って意思決定をされていますね。

今後、サイバーセキュリティ対策を進めるにあたって、日本企業がはじめに取り組むべきこととは何でしょうか。

企業の代表の方とお話しする際に、単刀直入にお伝えしているのは、まずは必要なスキルを持たない役員に退任してもらい、適材適所な人員配置を行っていくべきだということです。

日本企業の経営層は、サイバーセキュリティに関する状況認識が足りていません。昨今のサイバー環境をたとえるならば、時速100kmで暴走するダンプカーが親子の目前に迫っているにもかかわらず、当の親は耳や目が悪く何が起こっているのか把握できず、子どもを守ることが難しいというのと同じような状況にあります。

専門家と同等の知識までは必要ありませんが、諸外国の同業他社の経営層や中間管理職が理解しているようなレベルになるまで自己学習し、関心を持ってリスクを自ら感じられるようにしていくことが最善だとアドバイスしています。

一方、現場の方からは「経営層の意識をどう改革すればいいか」と聞かれることがよくあります。ただ、こうした質問自体に最近、大きな疑問を感じるようになりました。

組織を守るのは、現場ではなく組織のトップ層の仕事です。現場の方がなんとかしようとしているケースは、他の国の組織体制ではあまり見られません。組織のリーダシップを現場に求めるのは経営者として本来恥ずかしいことであるはずですが、日本企業にはそうした文化がまん延しています。

2013年に情報セキュリティ政策会議がサイバーセキュリティ戦略（※）を決定して10年が経ちますが、私の感覚では成果はゼロです。むしろ状況は当時より悪くなっているといえます。

状況が悪くなっているのはなぜでしょうか。

ITを活用してビジネスを変革しようという、いわゆるデジタル・トランスフォーメーション（DX）が進んでいることで、サイバー攻撃の対象となりうるアタックサーフェス（攻撃を受けやすい領域）が増えているためです。アタックサーフェスが増加する一方で、サイバーセキュリティ対策は従来から大きく変わっていないため、組織内のセキュリティのアベレージ（平均値）は相対的にぐんぐん下がっていきます。しかし企業側は自らの対策不足に気づかず、脅威が高まっているように見えているのです。

セキュリティ担当者は「守る」仕事に100%注力すべき

サイバーセキュリティ対策を推進するうえで、効果的な方策があれば教えてください。

私が企業向けのセキュリティレクチャーの際などに提案しているのは、取締役会で毎回必ずサイバーセキュリティについて議論することです。取締役会の議題に上がるのは、ポジティブかネガティブかのどちらかに振れているテーマだと思います。ポジティブなテーマは、主に企業の利益につながる話題です。一方、ネガティブなテーマとしては、地政学リスクや取引リスクをはじめとした様々な経営リスクがあげられますが、そのなかで、サイバーリスクが高まっていることをファクトベースで伝えることが重要です。

最近の他社のインシデントを取締役会などで紹介することも効果的でしょうか。

他社の事例は自社のサイバーセキュリティリスクにはなりえません。自社の損益に直結する合理的な根拠と、判断に資する情報をとりあげることが重要です。

最も有効なのは、自社のサイバーセキュリティリスクを可視化する「サイバーリスクスコアリング」です。本社だけでなく支社や事業会社も含めたグループ全体で、サイバー攻撃を受ける可能性のある箇所がどれだけあるのかを調査・評価し、点数を付けていきます。グループ全体のサイバーセキュリティを攻撃者と同じ視点から定量的に見ることではじめて対策を議論できるようになると考えます。重要なのはファクトを把握することです。

今年（2023年）5月、経済産業省が外部から把握出来る情報を用いて自組織のIT資産を発見し管理するためのアタックサーフェスマネジメント（ASM）導入ガイダンス ¹ を公開しました。これを利用して、自組織のサイバーリスクを可視化することが期待できます。

セキュリティ担当者はそうした議論においてどのような役割を果たすべきでしょうか。

セキュリティ担当者は組織やシステムを守ることに100%注力すべきです。そのためにファクトを経営層に伝えることが求められます。ユーザーのセキュリティ意識を向上させることはあっても、対策を指示する立場の上層部の人間を説得することは、サイバーセキュリティ担当者の本来の仕事ではありません。

ファクトを伝えても組織が変わらないのであれば、極論、セキュリティ担当者はその会社を辞めるべきだと思います。ファクトを知っているのにそれを見なかったことにするような企業文化は、セキュリティ以外の領域でも悪い影響を及ぼします。そうした組織を本当に守るべき価値があるのか。セキュリティ担当者はいま、組織に対する目利き力が問われていると思います。

欧米のサイバーセキュリティ対策に日本企業が追いつくとき

今後数年間で日本企業は欧米レベルのサイバーセキュリティ対策を進めていけるでしょうか。

大きな震災と同レベルの事案がサイバー空間で次々に発生し、多くの日本企業が深刻な被害を連続して受けている状況を目の当たりにした経営層や中間管理職が、自分ごととして強く感じるようになってはじめて、他の主要国並みの取組みが始まるのだと思います。日本は、そうならないかぎり、現状から大きく変わらない対策を続け、進展するサイバー脅威に適応した対策努力をする他の主要国から大きく乖離していく一方でしょう。

2011年の東日本大震災以前、日本は古来から非常に多くの地震災害の経験を積み重ねていながら、十分な対策ができていませんでした。必要な対策が取られたのは、東日本大震災を経験した後のことです。サイバーセキュリティの分野でも、多大な犠牲が出るまでは大きく変わっていかないだろうというのが、悲観論ではない私の率直な見立てです。

後編につづく

（取材・文：周藤 瞳美 、写真：岩田 伸久）

---