サイバーセキュリティ対策は企業にとって極めて重要な経営課題に

2021年2月17日、サイバーリーズン・ジャパン主催のオンラインイベント「Cybereason Security Leaders Conference 2021 冬」が開催されました。基調講演には慶応義塾大学 法学部 教授 ハーバード大学国際交渉学プログラム・インターナショナル・アカデミック・アドバイザー 弁護士 田村次朗氏が登壇し、「サイバーセキュリティ・マネジメント ~クライシスを乗り越える対話と意思決定~」と題した講演を行いました。

田村氏は経済法や独占禁止法、通商法などを専門とする法律家として活動する一方、ネゴシエーション(交渉)のスキルをベースにしたリーダーシップに関する研究や啓発活動にも精力的に取り組んでいます。そうした研究の過程で得られた重要な知見の1つに、問題解決に対する「2つのアプローチ」があると同氏は述べます。

「ハーバード大学の研究によれば、世の中に存在する問題は『技術的な問題』と『適応型の問題』の2つに大別されます。前者の問題は知識を身に付けることで解決できますが、後者を解決するには環境や状況の変化に素早く適応する術を身に付ける必要があり、自ずと適切なマネジメント能力が求められます。サイバーセキュリティ対策においても、この両方のアプローチを適切に組み合わせることが重要です」

言うまでもなく、現在サイバー攻撃は日々高度化・巧妙化しており、攻撃主体は個人や犯罪集団から国家へと移りつつあります。こうした深刻な事態を受け、日本においては現在政府を中心にセキュリティ対策強化のためのさまざまな手段が講じられており、その取り組みの水準は海外と比べて決して劣っているわけではありません。

しかし実際には、各省庁や民間組織、企業などがそれぞれ個別に活動を行っており、互いがうまく連携できていないため、国を挙げた一元的な対策がなかなか取れていないのが現状です。また近年では大企業だけでなく、その子会社や取引先などの小規模な企業も標的型攻撃のターゲットになることが多く、今やあらゆる企業にとってサイバーセキュリティ対策は喫緊の課題となっています。

一方、これまで多くの企業の経営者は、サイバーセキュリティ対策はあくまで情報システム部門の仕事であり、経営が直接関与する類のものではないと認識してきました。しかし田村氏は、「経済産業省のサイバーセキュリティ経営ガイドラインでは、経営者が責任を持ってセキュリティ対策を進めるべきであることが明記されています。もしこれを怠った場合は『内部統制システム構築義務違反』とされ、取締役が善管注意義務違反や忠実義務違反に問われる恐れがあります」と述べ、サイバーセキュリティ対策が企業にとって極めて重要な経営課題であることを強調します。

サイバーセキュリティ対策は知識だけでなく「マネジメント能力」が問われる

こうした課題に対処していくためには、サイバーセキュリティ対策のための技術的な知識や、内部統制や法令対応に関する知見を深める必要があり、これは前述の「技術的な問題」の解決に当たります。

一方、サイバーセキュリティ対策は、知識よりむしろマネジメント能力が問われる側面もあわせ持っています。常に、最新のサイバー攻撃手法に対応できるように努め、いざインシデントが発生すれば、刻一刻と変化していく状況に素早く適応しながら最善手を打ち、最速で復旧への道筋をつけなければなりません。つまりここでは「適応型の問題」を解決するマネジメント能力が求められるのです。

こうした能力を高めるために有用なメソッドとして、田村氏は以下の3つを挙げています。

危機の心理学

人間は危機に直面した際、往々にして冷静さを失い、目の前の現実を受け入れられず、問題を矮小化してとらえ、安易な解決策に飛びつき、結果失敗する、という負の連鎖に陥りがちです。
こうした状況を回避するためには、日ごろから適切な「対話のデザイン」を行うことが重要です。すなわち、平時のうちに有事対応のフレームワークをきちんと確立しておくことが必要なのです。そして、その際に効力を発揮する手法として、田村氏は「SPICEアプローチ」を提唱しています。

SPICEアプローチ

これは、田村氏が隅田浩司氏(東京富士大学経営学部教授)と共同研究を重ねて考案した危機管理マネジメントのフレームワークです。「Stakeholder Analysis(利害関係者分析)」「Perspective Taking(視点獲得)」「Issue Making(課題発見)」「Creative Options(解決策の創出)」「Evaluation and Decision Making(実行)」の頭文字をとってSPICE(スパイス)と名付けられ、この5つのステップを踏むことによって、より確実に最適な解決策を抽出・実行できるようになります。

Critical Eye

単に形だけのセキュリティ対策や内部統制システム構築を行っただけでは、企業経営の責任を果たしたとは言えません。“Critical Eye”、つまり批判的な観点から施策を検討・熟慮することが求められます。

「サイバーセキュリティ対策においては、企業の取締役自身がサイバーセキュリティに関する最新の知見を習得し、自社の対策状況を批判的に検討して利害関係者に説明する責任があります。逆に言えば、きちんと批判的に検討を行っていれば、たとえ結果的にインシデントが発生してしまったとしても、取締役がそのこと自体の責任を法的に問われることはありません。法律はあくまでも『やるべきことをきちんとやったか?』を問うており、その結果については追及しないということをよく覚えておいていただければと思います」(田村氏)

ホワイトペーパー「インシデントレスポンスで成功するためのチェックリスト」

インシデントレスポンス(インシデント対応)プランを策定する場合、非常に詳細な部分にも注意する必要があります。

しかし、大きな成果を上げているインシデントレスポンス(インシデント対応)プランでさえも、重要な情報が欠落していることがあり、正常に業務を行うことができるよう迅速に復旧作業を実施するうえでの妨げになる場合があります。

本資料は、インシデントレスポンス(インシデント対応)プランに組み込むべきでありながら忘れがちな9つの重要なステップについて詳しく説明します。
https://www.cybereason.co.jp/product-documents/white-paper/2476/

ホワイトペーパー「インシデントレスポンスで成功するためのチェックリスト」インシデントレスポンスプランに組み込むべきでありながら忘れがちな9つの重要なステップ