2019.05.17 インタビュー
IPAインタビューコラムの第四回目は、『IT/情報システム担当者へのセキュリティ業務に関する提言』をお届けします。
4-1 IPA補助教材やガイドライン等の有効活用方法を教えてください。
IPAでは、「サイバーセキュリティ経営ガイドラインVer 2.0」をわかりやすい実践集の形でプラクティス集を公開
(小川) IPAでサプライチェーンに特化したガイドライン・教材は発行していませんが、経営層向けのガイドラインとして、大企業向けにはサイバーセキュリティ経営ガイドライン、中小企業向けには中小企業経営ガイドラインがあります。また、3月25日に、「サイバーセキュリティ経営ガイドラインVer2.0 実践のためのプラクティス集」を公開しました。このプラクティス集は、個人情報や営業秘密等の情報管理は一応やっているが、サイバー攻撃やインシデント対応、ビジネス継続等について十分できていない、という中堅企業を想定し、ガイドラインの重要10項目の実践について事例をもとに解説しています。
「サイバーセキュリティ経営ガイドラインVer 2.0 実践のためのプラクティス集」
4-2 経営層にサイバーセキュリティ対策がビジネス継続に必要なアイテムだと理解してもらうには?
サプライチェーンの中でサイバーセキュリティ対策をおこなうことは、ビジネススタンダードに
(小川) サイバーセキュリティについてどこまでリスクをとるかはまさに経営判断なのですが、経営層への働きかけとしては、「他社もやっています」のような業界内における自社の位置、あるいは業界内の事故事例に基づく説得が効きます。また、「経産省、あるいはIPA等が提唱しています」という説明も経営層の背中を押すことになります。
あるいは、「こういう対策をやっていないとサプライチェーンでそこが穴になり、取引が難しくなります」というのを、丁寧に丁寧に言っていくということが必要なんだろうと思います。グローバルに出ていくとしたら、「グローバルではそこが出来ていないと、ビジネスのサプライチェーンに入っていけません」という感じになるのではないかと思います。
ビジネスを継続していくためには
(小川) 「うちの会社にそんな機密情報はないよ」という反論もあったりしますが、「サプライチェーン全体でみると、自社は価値のあるビジネスの一端を担っています。自社の脆弱性が原因でサプライチェーンを止めてしまうとこんな影響が出ます、いろいろなステークホルダーに迷惑がかかります」ということを理解してもらえれば、経営層も変わるのではないかと思います。
セキュリティ事故のニュースは、自分の会社に置き換えて考えてみる
(土屋) 身近な会社のインシデントがあった場合に、自分の会社に置き換えて考えてみてください。テレビのニュースも、自分の会社に置き換えて見ることで、新たな気づきがあるかしれません。
4-3 最後に自動車業界の情報システムの担当者に、情報セキュリティ業務をしていく中でのメッセージをお願いします。
情報セキュリティに触れる機会を作ろう
(土屋) 情報システム部門の人たちは、ITやセキュリティに詳しいですし、やるべきことはイメージ出来ていると思います。しかし、情報セキュリティ活動を行っても、社員さんたちに活動の目的まで理解して実践してもらうには時間が掛かります。まずは社内教育等でセキュリティが重要だということを繰り返し伝えていくという地道な活動が必要です。専門的なことまで知らなくてもいいので、世の中で起こった事例を紹介したり、「10大脅威」を活用したりして、情報セキュリティの話題に触れる機会を作って行くといいでしょう。そうすることで情報セキュリティ業務もやりやすくなると思います。
土屋氏/小川氏より、自動車業界のIT/情報システム担当者へのセキュリティ業務に関する提言をいただいた。
業界内では連携して、知恵を出し合えばいい
(小川) 自動車業界は、裾野が広いので、大変かと思います。JUAS(一般社団法人日本情報システム・ユーザー協会)という業界団体があります。そこではセキュリティに関するWGがあり、IPAもオブザーバで参加させていただいていますが、業界横断的にセキュリティ担当者が集まり、対策推進に関する課題共有・意見交換を行っています。もちろん自動車メーカー様も参加されています。企業の情シス部門、セキュリティ部門が孤立せず、連携できる場になっていると思います。自動車業界でもそういう場を作られてもいいかなと思います。お互いの知恵を出し合って、競争領域でなければ、ガイドラインを一緒に作ろう!みたいな感じになればいいのかなと思います。要は、みんな抱え込まないで、連携すればいいことがあるのでは?と思います。
サイバー攻撃への備えをきちんとしておくこと
(小川) 情報セキュリティのCIA(機密性、一貫性、可用性)のうち、これまではデータの機密性と一貫性が重視され、情報管理をちゃんとやることが求められてきました。しかし、近年のサイバー攻撃は手法が巧妙化し、システム自体の停止、インシデント対応によるサービス停止が深刻化しています。つまり、あまり顧みられてこなかった可用性をどこまで確保するか、がサイバーセキュリティの大きな課題であるといえます。事故を起こさないために何をするかだけでなく、事故が起きたとき傷口を広げないために何をするか、が必要になっていると思います。
≪Part4.インタビュー 参考≫