サイバーセキュリティは重要な経営課題であることに、もはや議論の余地はありません。セキュリティの重要性は浸透しつつありますが、本質的な理解が不足することにより、対策が遅れたり、不適切な対策となる場合も少なくありません。本連載では、経営者が理解すべきサイバーセキュリティについて、12回の連載で解説していきます。
初回は、リスクマネジメントの一環としてのサイバーセキュリティについて解説し、以降は企業におけるCISO・セキュリティ部門のあり方、セキュリティ投資の考え方、といった内容を予定しています。

サイバーセキュリティマネジメントは
リスクマネジメント

丸山満彦(まるやま・みつひこ)
デロイト トーマツ リスクサービス
代表取締役社長
有限責任監査法人トーマツに入社後、会計監査に従事。1998年より2000年までDeloitteのデトロイト事務所に勤務。製造業グループ他米国企業のシステム監査を実施。帰国後、リスクマネジメント、コンプライアンス、情報セキュリティ、個人情報保護関連の監査及びコンサルティングに従事。2012年3月末まで、内閣官房情報セキュリティセンター情報セキュリティ指導官。現在デロイト トーマツ サイバーセキュリティ先端研究所 所長を兼務

 2016年はアノニマスによる日本企業への攻撃に始まり、6月には大手旅行会社の子会社が標的型攻撃のメールからマルウェアに感染し800万人弱の個人情報が流出した可能性があると報道されました。一方米国でも、大手ポータルサイトが国家が関与するとみられるサイバー攻撃を2014年に受け、5億人以上の個人情報が流出した可能性があると報道されました。

 また、個人情報の搾取だけでなく、ランサムウェアの被害も拡大した年でした。このようなサイバーセキュリティの事件は2017年も起こるでしょう。では守る側はどうすればよいでしょうか? それを考える上で重要なことは、「経営者が正しくサイバーセキュリティのマネジメントの手法を理解すること」です。これは、経済産業省が2015年12月に発行した「サイバーセキュリティ経営ガイドライン」でも謳われています。

 サイバーセキュリティは企業を取り巻くさまざまなリスクの1つですから、サイバーセキュリティのマネジメントはリスクマネジメントの一分野となります。リスクマネジメントの特徴は、リスクを0にはできないことから、必ずベネフィットとリスクのバランスをとらざるを得えないということです。また、一般的にビジネス機会が大きいほど、リスクも大きいということです。したがって、リスクマネジメントには経営判断が必要ですし、大きなビジネス機会を考えているのであれば、経営者が関与しなければならないということになります。