検索
  • サポート

  • Secure the Enterprise

  • Secure the Cloud

  • Secure the Future
  • その他
  • サポート

日本のサイバーセキュリティガバナンスへの取り組みにおける「安全」地帯と課題とは

10 20, 2016 at 12:53 午前

本ブログは英語版でもご覧いただけます。

2015年12月に経済産業省およびIPA (独立行政法人情報処理推進機構) からサイバーセキュリティ経営ガイドライン Ver 1.0が発表された後、サイバー攻撃の脅威情報共有の分野などで日本のサイバーセキュリティへの取り組みがどのように前進しているか、2016年の5月と7月のブログで発表しました。

今回は、経済産業省とIPAのサイバーセキュリティガイドラインに記載されているサイバーセキュリティのためのコーポレートガバナンス(企業統治)について考察します。これはどの国も直面する課題ですが、特に日本では2020年の東京オリンピック開催前にサイバー攻撃耐性を強化するために必要な変化です。

ガイドラインで特に奨励されているのは、以下の点です。

  • 企業がサイバーセキュリティリスクの対応方針を作成し、公表
  • 適切な役割分担を持つサイバーセキュリティチームの設置

これらは強力なコーポレートガバナンスなくして達成することは不可能です。また、これらの項目の前提として、日本と欧米諸国、特に米国の企業体質の違いを認識しておく必要があります。日本のビジネスパートナーや顧客とやり取りをしている企業にとって、この重要な相違点を理解しておくことは役立ちます。

日本企業には長年、「Cレベル」という「経営幹部」を指す概念がありませんでした。日本の会社法第349条には、代表取締役が会社を代表すると書かれており、最高経営責任者 (CEO) や最高財務責任者 (CFO) などのCレベルの幹部の法的責任は記載されていません(対照的に、米国では法的責任を持っています)。一部の日本企業ではCEOやCFOの役職を最近導入していますが、最高情報セキュリティ責任者 (CISO) を選定するという考えは米国に比べ遅れています。ガイドラインでは日本企業がCISOを含む担当幹部を置くことを推奨していますが、実際には厳しい状況です。

もう一つの日本におけるコーポレートガバナンスの思考形成における課題は、日本の雇用制度と深く関わっており、改革が遅れる可能性をはらんでいます。米国では終身雇用は必ずしも保証されず、昇進のための複数回の業種内転職はごく当たり前のことです。米国の社員は、次の職場に提出する履歴書に記載する能力の裏づけのために、プロジェクトの完遂にプレッシャーを感じています。そのため、社員は何か新しいことに率先して挑戦して自身のスキルを磨き、将来を見据えて雇用主に魅力的に映ることを意識しています。

それとは対照的に、日本ではまだ終身雇用と年功序列型賃金制度が信じられています。また日本では減点方式で従業員を評価する傾向があります。新入社員が会社で仕事を始めたとき、彼または彼女は満点の状態です。前任者と同じように働き続ける限り、点数を維持することができます。しかし、会社の従来の取り組みに反してまで新しいことを試した結果、有益な成果が得られなければ、社員の点数は減点されます。チャレンジ精神はほとんど評価されません。この文化により、社員は斬新な取り組みを試すことをためらい、安全地帯に留まりがちとなっています。

日本が直面するもう一つのコーポレートガバナンス問題は、米国と同様、ネットワーク/ITとセキュリティを担当する部門が別々の企業が多いことです (この構造は、、電気通信とコンピューターセキュリティが別の分野として扱われていたインターネット時代以前の考え方に基づいています)。金融や国家安全保障・国際安全保障など日々の活動がコンピュータやスマートフォン、インターネットに依存するインターネット時代にこの問題が与える大きな課題は、2つあります。

第一に、ネットワークとセキュリティの各チームで優先事項が異なっている場合、協業が難しくなることがあります。ネットワーク技術者は円滑なデータフローを含む企業ITネットワークのパフォーマンスを重視します。一方、セキュリティ技術者は組織のセキュリティニーズに重みを置き、そうしたニーズを満たすため企業ネットワークの一部を停止したり、データフローを減速したりすることを優先させる場合があります。一方のグループの優先事項を満たす取り組みが行われると、もう一方の優先事項が脅かされる可能性があるため、2つのグループ間で緊張が生じます。

第二に、プロジェクトを遂行するための計画や調達サイクルが部門によって異なっていることが多々あります。たとえば、サイバー脅威によってビジネスにもたらされるリスクへ対処するために包括的戦略を持つことの重要性を最高情報責任者 (CIO) が理解していたとしても、計画と調達サイクルがばらばらであることによって機器調達の調整やとりまとめが妨げられてしまうことがあります。これが複雑でまとまりのないITおよびサイバーセキュリティ環境を生む結果となり、運用上の困難をもたらし、全体的なセキュリティ対策を弱めることになってしまうのです。

もちろん、どこであっても長年の文化や企業構造を変更することは容易ではなく、一夜で行うことは不可能です。しかし企業が変化しない限り、日本のサイバーセキュリティは断片化したものとなり、サイバー攻撃に対して脆弱なままとなってしまいます。上記の課題を克服するために、サイバーセキュリティ経営ガイドラインの新しいバージョンに以下の提言を3つ含められれば日本企業にとって手助けになるのではないかと考えます。

  1. 新バージョンでは、日本のサイバーセキュリティ基本法におけるサイバーセキュリティの定義を参照し、サイバーセキュリティとは「情報の漏えい、滅失又は毀損の防止」と「情報システム及び情報通信ネットワークの安全性及び信頼性の確保の確保のために必要な措置」と記すべきです。また、サイバーセキュリティ向上のための部門間の連携の推奨も必要です。
  2. ガイドラインは、日本企業がCISOおよびCISOのサイバーセキュリティチームメンバーに権限を持たせることを奨励すべきです。CISOは取締役会での発言、企業戦略の中のサイバーセキュリティに関する部分の策定、サイバーセキュリティを網羅した包括的な調達サイクルの調整、といった権限を持つ必要があります。
  3. ガイドラインは、サイバーセキュリティにおける企業幹部教育の重要性を示すべきです。具体的な方法の1つにリーダーシップへの啓蒙活動 (thought leadership) があります。たとえば、同業他社とのサイバーセキュリティセミナーや会議へ出席することにより、日本企業の経営陣は現在の脅威状況や、対抗できるソリューションを理解できるようになります。別の教育形態としては、日本の会社法の規定を利用することで、企業は取締役会に「社外役員」を置くことができます。社員ではない取締役が、取締役会での議論に専門知識と客観的な意見をもたらすことが期待されます。サイバーセキュリティに特化した社外取締役を任命すれば、社内サイバーセキュリティへの助言を受けるとともに、経営幹部が潜在的なサイバーセキュリティリスクへの理解を深め、企業のサイバーセキュリティ戦略を策定するための支援が得られるようになります。

サイバーセキュリティガイドラインは、サイバーセキュリティ関連のコーポレートガバナンスに関する詳細な助言など、業界への日本政府の期待値を示すものであるため、日本企業が社内の縦割り業務の弊害を克服し、21世紀に見合ったより包括的なサイバーセキュリティ対策の策定をしていく上で役立ちます。既に、経済産業省およびIPAのガイドラインは日本企業の幹部の間でサイバーセキュリティへの関心を高めており、海外の政府や企業もその動きを歓迎しています。コーポレートガバナンスは、世界中どの国においても普遍的な課題です。日本企業は2020年夏季オリンピックに向けてサイバーセキュリティの取り組みを拡大しているため、サイバーセキュリティに関連するコーポレートガバナンスを強化し、世界の他組織とベストプラクティスを共有して行く上で良い立ち位置に立っていると言えるでしょう。

 

 

 

松原実穗子とダニエル・クリズの共著第五弾となる本ブログ・シリーズは、日本のサイバーセキュリティへの取り組みとその意義を政府機関、世界の産業界、オピニオン・リーダーなどの世界中の読者に紹介することを目的としています。今後のブログでは、世界規模のサイバーセキュリティ能力開発における日本の役割、2020年東京オリンピック大会を計画するにあたり発生するサイバーセキュリティの派生的問題、その他のトピックを取り上げる予定です。  


 

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Cortex XDRの紹介

パロアルトネットワークスは、セキュリティの最先端を行く3つのイノベーションを発表しました。これらのイノベーションによって、セキュリティ業界の変革に挑もうとしています。まず1つ目は、ディテクション(検知)・調査・レスポンスSaaSアプリケーションCortex XDRです。これは、高度な攻撃をディテクションして阻止するだけでなく、将来のサイバー攻撃に備えて防御機能を絶えず進化させ、セキュリティ運用をサポートするSaaS型のアプリケーションです。
April 14, 2019

メールニュース購読

インテリジェントなネットワーク セキュリティの開始地点

このフォームを送信すると、利用規約とプライバシーに関する声明に同意したことになります 。
Subscription Reward

リソース

  • 会社概要
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • ブログ
  • JAPAN LIVE COMMUNITY
  • Tech Docs
  • キャリア
  • お問い合わせ
  • Sitemap

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)
  • Facebook
  • Linkedin
  • Twitter
  • Youtube

© 2021 Palo Alto Networks, Inc. All rights reserved.