どこまで外部に開示すべきか
日本企業のサイバー対策の現状
――日本サイバーセキュリティ・イノベーション委員会の調査で、「有価証券報告書に記載する経営リスクの事項に、サイバー攻撃に関する情報を盛り込んでいない企業が4割強に上る」ことが明らかになっています。今後ますますIT技術の活用が増える中で、日本企業のサイバー対策に対する意識をどう評価していますか?
(梶浦氏)私自身、5年ほど前から日本経済団体連合会(経団連)の「サイバーセキュリティ強化ワーキング・グループ」の主査を務めていますが、以前と比べればサイバーセキュリティー対策に対する意識は高まり、対策も進んでいると思います。
サイバーセキュリティー対策では現場とのコミュニケーションが大切であるとともに、外からの情報収集も大事で、インテリジェンス(知識)で対応する必要があります。日本企業ではともすれば、現場で何かが起きてから対処していくインシデントドリブン、ボトムアップで対応しがちです。そのこと自体は悪いことではないのですが、ボトムアップだけでなく、インテリジェンスを活用したトップダウンでの対応も並行して行うべきではないかと考えています。
そのためには、企業の状況を見える化しなければなりません。見える化するポイントの1つは、リスクに対して自社の成熟度がどれくらいあるか。この成熟度の見える化は大手企業ではある程度できているように思います。一方、外部へのアピールについてはいまだ議論がされている途中です。セキュリティー対策の情報公開については、成熟度が高い企業のほうが対応できていないかもしれません。
リスク管理というのは、やればやるほど次のリスクが見えてくるのが特徴です。特に重要なインフラを担う企業や社会的に責任ある企業の場合、具体的に「こう対応した」と発表することで揚げ足を取るメディアや団体もあり、社外への開示をためらう企業も少なからずあります。
私も、例えばファイアウオールの数など具体的な施策を示す必要はないと考えます。しかし、経営者は「セキュリティーについて、こう考えている」「課題がある中で、ここを強化している」「将来のビジョンはこうだ」とセキュリティーへの取り組み姿勢は示すべきだと考えます。先進的な企業が率先して、市場や株主、ステークホルダーに自社の姿勢を訴えかけるカルチャーが必要なのではないでしょうか。
これまで日本では、“日本語バリア”によりサイバー脅威が入りにくかったという特性はあるかもしれませんが、サイバー攻撃に対して、特別優位な環境にあるわけではありません。今や国内だけでサプライチェーンが閉じているわけでもなく、海外の平均的な企業と同じぐらいには、セキュリティーへの取り組み姿勢、体制を訴えていく必要があると考えます。同時に、情報を発信することで得られるメリットについて、我々は経営陣に働きかけていきたいと思います。
