本ブログは英語版でもご覧いただけます。

2015年12月に経済産業省およびIPA (独立行政法人情報処理推進機構) からサイバーセキュリティ経営ガイドライン Ver 1.0が発表された後、サイバー攻撃の脅威情報共有の分野などで日本のサイバーセキュリティへの取り組みがどのように前進しているか、2016年の5月と7月のブログで発表しました。

今回は、経済産業省とIPAのサイバーセキュリティガイドラインに記載されているサイバーセキュリティのためのコーポレートガバナンス（企業統治）について考察します。これはどの国も直面する課題ですが、特に日本では2020年の東京オリンピック開催前にサイバー攻撃耐性を強化するために必要な変化です。

ガイドラインで特に奨励されているのは、以下の点です。

• 企業がサイバーセキュリティリスクの対応方針を作成し、公表
• 適切な役割分担を持つサイバーセキュリティチームの設置

これらは強力なコーポレートガバナンスなくして達成することは不可能です。また、これらの項目の前提として、日本と欧米諸国、特に米国の企業体質の違いを認識しておく必要があります。日本のビジネスパートナーや顧客とやり取りをしている企業にとって、この重要な相違点を理解しておくことは役立ちます。

日本企業には長年、「Cレベル」という「経営幹部」を指す概念がありませんでした。日本の会社法第349条には、代表取締役が会社を代表すると書かれており、最高経営責任者 (CEO) や最高財務責任者 (CFO) などのCレベルの幹部の法的責任は記載されていません（対照的に、米国では法的責任を持っています）。一部の日本企業ではCEOやCFOの役職を最近導入していますが、最高情報セキュリティ責任者 (CISO) を選定するという考えは米国に比べ遅れています。ガイドラインでは日本企業がCISOを含む担当幹部を置くことを推奨していますが、実際には厳しい状況です。

もう一つの日本におけるコーポレートガバナンスの思考形成における課題は、日本の雇用制度と深く関わっており、改革が遅れる可能性をはらんでいます。米国では終身雇用は必ずしも保証されず、昇進のための複数回の業種内転職はごく当たり前のことです。米国の社員は、次の職場に提出する履歴書に記載する能力の裏づけのために、プロジェクトの完遂にプレッシャーを感じています。そのため、社員は何か新しいことに率先して挑戦して自身のスキルを磨き、将来を見据えて雇用主に魅力的に映ることを意識しています。

それとは対照的に、日本ではまだ終身雇用と年功序列型賃金制度が信じられています。また日本では減点方式で従業員を評価する傾向があります。新入社員が会社で仕事を始めたとき、彼または彼女は満点の状態です。前任者と同じように働き続ける限り、点数を維持することができます。しかし、会社の従来の取り組みに反してまで新しいことを試した結果、有益な成果が得られなければ、社員の点数は減点されます。チャレンジ精神はほとんど評価されません。この文化により、社員は斬新な取り組みを試すことをためらい、安全地帯に留まりがちとなっています。

日本が直面するもう一つのコーポレートガバナンス問題は、米国と同様、ネットワーク／ITとセキュリティを担当する部門が別々の企業が多いことです (この構造は、、電気通信とコンピューターセキュリティが別の分野として扱われていたインターネット時代以前の考え方に基づいています)。金融や国家安全保障・国際安全保障など日々の活動がコンピュータやスマートフォン、インターネットに依存するインターネット時代にこの問題が与える大きな課題は、２つあります。

第一に、ネットワークとセキュリティの各チームで優先事項が異なっている場合、協業が難しくなることがあります。ネットワーク技術者は円滑なデータフローを含む企業ITネットワークのパフォーマンスを重視します。一方、セキュリティ技術者は組織のセキュリティニーズに重みを置き、そうしたニーズを満たすため企業ネットワークの一部を停止したり、データフローを減速したりすることを優先させる場合があります。一方のグループの優先事項を満たす取り組みが行われると、もう一方の優先事項が脅かされる可能性があるため、２つのグループ間で緊張が生じます。

第二に、プロジェクトを遂行するための計画や調達サイクルが部門によって異なっていることが多々あります。たとえば、サイバー脅威によってビジネスにもたらされるリスクへ対処するために包括的戦略を持つことの重要性を最高情報責任者 (CIO) が理解していたとしても、計画と調達サイクルがばらばらであることによって機器調達の調整やとりまとめが妨げられてしまうことがあります。これが複雑でまとまりのないITおよびサイバーセキュリティ環境を生む結果となり、運用上の困難をもたらし、全体的なセキュリティ対策を弱めることになってしまうのです。

もちろん、どこであっても長年の文化や企業構造を変更することは容易ではなく、一夜で行うことは不可能です。しかし企業が変化しない限り、日本のサイバーセキュリティは断片化したものとなり、サイバー攻撃に対して脆弱なままとなってしまいます。上記の課題を克服するために、サイバーセキュリティ経営ガイドラインの新しいバージョンに以下の提言を３つ含められれば日本企業にとって手助けになるのではないかと考えます。

1. 新バージョンでは、日本のサイバーセキュリティ基本法におけるサイバーセキュリティの定義を参照し、サイバーセキュリティとは「情報の漏えい、滅失又は毀損の防止」と「情報システム及び情報通信ネットワークの安全性及び信頼性の確保の確保のために必要な措置」と記すべきです。また、サイバーセキュリティ向上のための部門間の連携の推奨も必要です。
2. ガイドラインは、日本企業がCISOおよびCISOのサイバーセキュリティチームメンバーに権限を持たせることを奨励すべきです。CISOは取締役会での発言、企業戦略の中のサイバーセキュリティに関する部分の策定、サイバーセキュリティを網羅した包括的な調達サイクルの調整、といった権限を持つ必要があります。
3. ガイドラインは、サイバーセキュリティにおける企業幹部教育の重要性を示すべきです。具体的な方法の１つにリーダーシップへの啓蒙活動 (thought leadership) があります。たとえば、同業他社とのサイバーセキュリティセミナーや会議へ出席することにより、日本企業の経営陣は現在の脅威状況や、対抗できるソリューションを理解できるようになります。別の教育形態としては、日本の会社法の規定を利用することで、企業は取締役会に「社外役員」を置くことができます。社員ではない取締役が、取締役会での議論に専門知識と客観的な意見をもたらすことが期待されます。サイバーセキュリティに特化した社外取締役を任命すれば、社内サイバーセキュリティへの助言を受けるとともに、経営幹部が潜在的なサイバーセキュリティリスクへの理解を深め、企業のサイバーセキュリティ戦略を策定するための支援が得られるようになります。

サイバーセキュリティガイドラインは、サイバーセキュリティ関連のコーポレートガバナンスに関する詳細な助言など、業界への日本政府の期待値を示すものであるため、日本企業が社内の縦割り業務の弊害を克服し、21世紀に見合ったより包括的なサイバーセキュリティ対策の策定をしていく上で役立ちます。既に、経済産業省およびIPAのガイドラインは日本企業の幹部の間でサイバーセキュリティへの関心を高めており、海外の政府や企業もその動きを歓迎しています。コーポレートガバナンスは、世界中どの国においても普遍的な課題です。日本企業は2020年夏季オリンピックに向けてサイバーセキュリティの取り組みを拡大しているため、サイバーセキュリティに関連するコーポレートガバナンスを強化し、世界の他組織とベストプラクティスを共有して行く上で良い立ち位置に立っていると言えるでしょう。

松原実穗子とダニエル・クリズの共著第五弾となる本ブログ・シリーズは、日本のサイバーセキュリティへの取り組みとその意義を政府機関、世界の産業界、オピニオン・リーダーなどの世界中の読者に紹介することを目的としています。今後のブログでは、世界規模のサイバーセキュリティ能力開発における日本の役割、2020年東京オリンピック大会を計画するにあたり発生するサイバーセキュリティの派生的問題、その他のトピックを取り上げる予定です。