「サイバーセキュリティ経営ガイドライン」の衝撃

Alone

2015年12月28日、経済産業省の情報処理推進機構(IPA)が出した「サイバーセキュリティ経営ガイドライン」は、衝撃的だった。この表題が示すように単に「サイバーセキュリティ」のみの話ではなく、それが「経営」そのものに大きなメスを入れる必要がある、そうしないと日本の防衛はできない、というのがこの「ガイドライン」だからだ。おそらく、日本のほとんどの企業が、そして中小企業以下のところが、このガイドラインを見て、全く読めない、ということになるだろう。しかし、世界を見渡すと、どんな小さな企業でも、この程度のことは当たり前にしなければ、会社の財産が守れない、という時代になったのである。

ターゲットは「経営者」なのである。

その詳細は本文を見ていただくとして、簡単に概要を説明すると、サイバー攻撃からの企業組織の防御は経営者の責任であり、従って、それが少しでも破れて情報が組織の外部に漏れたら、それはそのまま経営者の責任、ということだ。ガイドラインはしばらくすると法律に反映されてくる。つまり日本の組織がすべてこのガイドラインに沿ったインターネット利用を当たり前にしないと、経営者が処罰される、という時代がすぐそこにやってきている、ということでもある。また、この責任範囲は子会社や関連会社にも及ぶのみならず、パートナー組織や個人にも及ぶ。今から「そんなことできないよ」という泣き声があちこちから聞こえてきそうである。

また、ガイドラインにはこれらの施策には経済性(損得勘定を入れない)を求めないことや、会社体制をサイバーセキュリティに沿って改変すること、施策はPDCAのサイクルの中で管理されなければならないこと、など、多くの「約束事」が書いてある。これが法律になれば、日本中が大混乱になるのじゃないかと思うが、「非常時」だから、しなければならない、ということになる。例外は許されないだろう。カネはないけどやれ、やらないと会社をつぶすぞ、というようなことが書いてある、と思っていいだろう。

対策としては、できるだけ安価なL3スイッチやGateway、文中にもある2年間以上のすべての出入りのパケット保存と解析、リアルタイムの防御の採用(必須)などがあるだろうが、とにかくコストを低く抑えないと、経営に響く。加えて、外国人が開発に関わった国内製、外国製のセキュリティ製品やL2-3スイッチなどの製品をアテにしてはいけない、ということもある。やがて「外国人フリー開発体制(←変な言い方?)」の規格などもJISで決まる可能性もある。特に防衛などにかかわる産業ではこれは必須である。

日本も弱小零細企業から大企業、政府組織など各組織がハリネズミのようにサイバー対策を考える必要がある、というのが、このガイドラインの趣旨である。日本の企業の8割が中小企業である以上、これは中小企業の経営者にとっては特に厄介なことになるのは目に見えている。そして、それがだんだんと法律化されてくることは必至だろう。罰則も用意されることになる。これからは「セキュリティ」がICTの重要なキーワードになるのは、当たり前の流れであるようだ。

ところで、私は韓国の大学で2年間、教授をやったのだが、専門はセキュリティだ。しかし、セキュリティは国をまたぐものであるため、韓国では外国人である私は2年間はひたすら声を小さくして過ごす他はなかった。セキュリティの世界では国どうしのサイバー戦争が既に始まっており、私が韓国にいたときも韓国では国レベルの大セキュリティインシデントが発生し、韓国の政府機関や大企業のPCが軒並み停止する、という事件もあった。これは北朝鮮からのサイバー攻撃である、と言われていた。仕事柄、詳細な分析は個人的にはやってみた。結論はここには書けないが、この事件についてはかなりの部分が公になっており、分析は比較的しやすかった。

 


このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください