オピニオン

サイバーセキュリティ経営に向け、CISOの登用を急げ！

　インターネットを活用したビジネス規模は全世界で250～350兆円と言われる。一方でサイバー犯罪による損失額は、公表されているインシデントに関するものだけでも世界で50～60兆円に上る。企業が血の滲むような努力の末に稼ぎ出した価値の15～20%が奪われ、失われている計算になるわけだ。

　筆者はセキュリティインシデントに見舞われた企業を支援しているが、その過程で対応に追われる担当者の大変な苦労を見てきた。彼／彼女らは悪意のサイバー攻撃を受けた被害者である。それにもかかわらず、顧客情報の漏えいに対する補償や業務の中断による取引先への影響など、ステークホルダーに経済的損失を与えた加害者と見なされてしまうことがある。

　それだけではない。重大なインシデントでは責任を取る形でCIOやCEOの辞任に発展するケースもある。本コラムの読者には周知のことだろうが、サイバーリスクを経営課題と認識して対応することは、今や経営層にとって不可欠である。

　こうした背景もあり、経済産業省は2015年12月、企業経営者向けにサイバーセキュリティ対策の原則や重要項目をまとめた「サイバーセキュリティ経営ガイドライン」を公開した。サイバーセキュリティ経営の3原則として（1）経営者のリーダーシップ、（２）サプライチェーンを含めた対策の推進、（３）適切な情報開示とコミュニケーション、を挙げている。さらに企業が取り組むべき重要なサイバーセキュリティ対策として10項目を提起している。

　ガイドラインの中で筆者が強いメッセージ性を感じたのは、サイバーセキュリティ経営の中心的役割を担う人物として、組織内のセキュリティ対策に関する責任を負う担当幹部、すなわちCISO（Chief Information Security Officer）の任命を推奨していることである。「経営者とセキュリティ担当者、両者をつなぐ仲介者としてのCISO等からなる適切な管理体制を構築すること」という事項に加え、「対策状況については、CISO等が定期的に経営者に対して報告をするとともに、ステークホルダーからの信頼性を高めるべく適切に開示すること」という事項がそれだ。

　組織における日常的なセキュリティマネジメントと、対外的な説明責任を果たすためのコミュニケーションの実践という両面において、CISO（または相当する幹部）の役割を極めて重要視していることが分かる。ところが日本企業におけるCISOの設置は、まだ5社に1社程度にとどまっているとの統計がある。

　それも当然で、経営者とセキュリティ担当者をつなぎ、経営者による対外的な説明責任を支援するCISOは、サイバーセキュリティ専門家としての豊富な経験と知識というスペシャリスト的な要素を備えている必要がある。同時に組織のビジネスに関する深い理解と経営幹部としてのマネジメントスキルというゼネラリスト的な素養を備えていなければならない。

　サイバーセキュリティ分野に限らず、こうした人材は稀有だし、ここから考えると5社に1社という上記の統計自体、怪しさもつきまとう。しかし筆者の業務経験からして状況は切迫している。サイバー攻撃が熾烈化する中、短期的には外部からの専門家の登用、中期的にはサイバーセキュリティ人材の育成が喫緊の課題だと痛感する次第である。

KPMGコンサルティング株式会社
サイバーセキュリティアドバイザリー
ディレクター 小川真毅