ダイヤモンド社のビジネス情報サイト
サイバーセキュリティ2020

ビジネスではライバル企業同士でも
セキュリティでは助け合う必要がある

~組織間情報共有の重要性~

プライスウォーターハウスクーパース
【第7回】 2015年12月1日
著者・コラム紹介バックナンバー
previous page
4

 ISAOには様々は形態があってよい。今後は、業界毎のISACに異業種の企業が加盟することもあるだろう。地域単位のISAOという発想も生まれている。バージニア州が州単位のISAOを設立すると発表したことは全米中で注目を浴びている。

 また、業界横断的な共通テーマを扱うISAOも数多く設立されることだろう。車の自動運転、IoT化した家電製品、発電所等の重要制御系システム等のテーマは喫緊の課題であり、既存のメーカー、新興のテクノロジー産業、通信業者や所管する省庁等が、入り乱れて官民連携を進めることも期待される。

 ここで言う「官民連携」とは政府組織と民間企業が対等な立場であり、組織の参加は任意であることを意味する。つまり、規制当局が管轄下の企業に対してISAOへの参画を義務付けるものでもなければ、監視するものでもない。あくまでも、企業自身の自由意思によって参加するものなのだ。

 CIA(中央情報局)およびNSA(国家安全保障局)の局員だったエドワード・スノーデンが米国政府による個人情報収集の手口を暴露して以来、政府の情報管理に対する市民や民間企業の不信感や警戒感が高まった。そのため、この定義は非常に重要な意味を持つ。政府系のインテリジェンス機関が、保有する脅威情報をどこまで民間に開放できるのかが、官民連携の成否に直結するのかもしれない。

日本における
組織間情報共有の課題

 まずは組織間情報共有の枠組みを広範に整備する必要があるだろう。これまでほとんど情報共有が進んでいなかった業界においても監督官庁、業界団体、業界の盟主らが主導してISACを設立することが期待される。たとえビジネス上は競合関係にあっても、サイバー攻撃を仕掛けてくる攻撃主体は共通の敵である。今こそ手を取り合って助け合う時ではないだろうか。

 その後、国内の組織間情報共有機関も、米国で提唱されるISAOのように、柔軟な形態に移行していくだろう。多くの組織に門戸を開き、官民連携を含んだ、より広い範囲で情報共有されることになる。そうなると、共有情報の管理が難しくなる。小規模コミュニティの中の顔見知りのメンバー間であれば、信頼関係が構築しやすい。しかし、情報共有組織が新しいメンバーを迎え入れる場合、どのようにスクリーニングし、どのように信頼関係を構築するのか。お互いに助けあうことはいいことだが、共有した情報が攻撃者の手に渡っては元も子もない。本当に信頼できる相手なのかの見極めは重要だ。

 続いて、貢献度に関する課題が露呈する可能性がある。情報共有機関がある程度成熟すると、参加組織間で貢献度に大きく差が出てしまうことがある。参加組織が皆同じように情報を供給できれば理想的なのだが、実際には、情報を供給する側とその情報を利用する側とに大きく二分されてしまう傾向にある。いつも供給ばかりしている組織はやりきれない不公平感を抱くことになってしまう。情報を有償で売買するというアイデアもあるが、共助のコンセプトにそぐわないと感じる人もいるだろう。

 最後に、セキュリティ担当者に対する人事評価の問題だ。ISACにおいて多大なる貢献をしたとしても、そのことが当該担当者の所属企業において、ほとんど認知されなかったり、適切に評価されない場合がある。ISACにおける貢献とは、直接的には主に競合他社を支援する活動であることが、その理由なのかもしれない。廻り回って自社にもメリットがあることを、所属企業の経営者や上司が理解しない限りISACの運営は成立しない。

previous page
4
IT&ビジネス
クチコミ・コメント

facebookもチェック

サイバーセキュリティ2020

近年、世界中でサイバー攻撃の深刻さが増しており、新聞やニュースでも関連記事を目にしない日がない。もはやサイバーセキュリティ対策は、IT部門の問題ではなく、経営の問題にほかならない。本連載は、サイバー攻撃に向き合う企業経営者に向けて、プライスウォーターハウスクーパース(PwC)のサイバーセキュリティコンサルタントが、全10回にわたってお届けする。

「サイバーセキュリティ2020」

⇒バックナンバー一覧