2020年以降も「終わりのない戦い」は続く
――サイバーセキュリティ高度化のロードマップは2020年をターゲットとして策定されていることが多いようです。一方で、2020年以降を見据えた取り組みを考慮することが必要と思われます。この点について、みずほフィナンシャルグループでは、どう取り組まれているのでしょうか。
私たちが経営層にサイバー戦略を説明する際には、必ず「終わりのない戦いである」ということを言い続けています。2020年が過ぎたから終わるなどということはありません。攻撃者は常に進化しているので、私たちも常に進化しなければなりません。一種の戦争のようなものですから、攻防をやり続ける覚悟が必要です。そのために気をつけていることが、この3年あまりで揃ってきたケイパビリティ、サイバー防衛に必要な機能や人材、プロセスを維持し改善し続けることです。こうしたコアになる要素を持続可能なものにする取り組みが必要で、これをしっかりと企業文化に埋め込んでいこうと努力しています。
ただ、こうしたノウハウを私たちだけで使うということは考えておらず、金融ISAC*2などで、できるだけ共有しようと考えています。金融ISACに加盟している300以上の企業では、サイバーセキュリティに関するさまざまな情報の共有が進んでいます。こうした情報共有の中でお互いに助け合う。その次はベストプラクティスを一緒に実践する仕組みを日本全体に広げていく。業界にとらわれず共同防衛していく体制にすることが大事だと思います。
2020年以降に関しては、2030年を見据えてSDGs*3のような視点も大事だと思います。重要インフラ事業者としての責任もありますし、セキュリティの分野で日本を引っぱっていけるような存在になれたらと思います。これからの社会はソサエティ5.0で描かれているような、IoTでセンサー、デバイスなどが高度につながっていく社会です。そこではつながる前にまず、しっかりとセキュリティバイデザインで品質を確保する仕組みが必要です。また、さまざまなつながりを通じてお客さまにサービスを提供するケースが増えていきますので、そのバリューチェーン、サプライチェーンの全体を見渡しながら、安心安全に使っていただけるものにしていく必要があります。
以前より「セキュリティはデジタル社会への入場券」ということを申し上げているのですが、まさにサイバー空間への入場券として、セキュリティをプロアクティブに、より世のため人のために見ていくことが必要だと思っています。私たち自身もまだまだだと思っておりますので、コアのケイパビリティを強く持ち続けながら、自助だけでなく共助、公助の社会的な責任を果たすようなところに踏み出して行きたいと思います。
みずほフィナンシャルグループのサイバーセキュリティ戦略の中では、自社だけではなく、お客さまや世の中のためになるということも、ビジョンとして掲げています。こうした志を掲げ続けていることで、社内の応援者が増えて、社外でも共感していただける方が増えてきました。そういう方々のおかげで、我々はいつの間にか、当初は考えられなかった高度なことがいろいろとできるようになってきました。人はつながると強力な力を発揮します。攻撃者側もどんどんつながってくるので、守る側はもっとつながらないといけない。それが単純ではありますが極めて有効な対策ではないかと思います。
――ありがとうございました。
*1 KRI : Key Risk Indicatorの略。重要リスク指標。
*2 金融ISAC :日本において金融業界のセキュリティ連携を行う組織。(ISAC:Information Sharing and Analysis Center)
*3 SDGs:Sustainable Development Goalsの略。持続可能な開発目標。