DXに必要な“リアルタイム型”セキュリティを阻む、日本企業の課題5つ：Microsoft Security Forum 2020（1/2 ページ）

DXに向けたセキュリティのニーズが高まる中、その流れに追い付けていない日本企業の“典型的な症例”5つとは――内閣サイバーセキュリティセンターの副センター長が、目指すべき4つのポイントとともに明かした。

[ITmedia]

　毎年3月は、政府が設定した「サイバーセキュリティ月間」だ。新型コロナウイルス感染症（COVID-19）の影響で多くのイベントが中止に追い込まれる中、日本マイクロソフトは2020年3月「Microsoft Security Forum 2020 〜変化に備える 2020年のセキュリティ対策〜」をオンラインで開催。1000人以上が視聴した。

　現在でさえCOVID-19に便乗した悪意あるサイバー攻撃が引きも切らない中、企業は何を基準に組織と従業員を脅威から守り、同時にDXの体制を整えればいいのか。

「攻撃が起きてから」では遅い――今企業に求められる、リアルタイムの対応力とは

日本マイクロソフトの河野省二氏（技術統括室　チーフセキュリティオフィサー）。オンラインイベント「Microsoft Security Forum 2020 〜変化に備える 2020年のセキュリティ対策〜」に登壇した（画像提供：日本マイクロソフト）

　その問いへの回答としてセキュリティの「リアルタイム性」を挙げたのが、基調講演に登壇した日本マイクロソフトの河野省二氏（技術統括室　チーフセキュリティオフィサー）だ。

　同氏は「これまでは、サイバー攻撃が起きてからそれを検知し、対応することがセキュリティの基本的な考え方だった」とした上で、「今のセキュリティには、リアルタイムで攻撃やリスクに対処する力が必要だ。OSなら小まめにアップデートして脆弱（ぜいじゃく）性を取り除く必要がある」と指摘。これらのニーズを受けて「Windows 10」が動的にセキュリティの設定を変えることで安全性を維持できるようにした点を挙げた。

　河野氏は、セキュリティも含めた企業におけるIT施策の在り方について「ITに望む姿、情報資産に望む姿を設定し、品質管理のようにITを管理していくことが重要になる」と話した。

もう“一時的な対策”は許されない―「Society 5.0」のセキュリティ像

　ではDXが実現した未来を想定して現在着手すべきセキュリティ対策は何だろうか。内閣サイバーセキュリティセンターの山内智生副センター長（内閣官房　内閣審議官）は、現状から見た「企業セキュリティのあるべき姿」を、課題や反省点を交えつつ語った。

　まず、政府が提唱する「Society 5.0」時代の企業ITに取り入れてほしい要素として、同氏が取り上げたのが「持続可能なセキュリティ」だ。

内閣サイバーセキュリティセンターの山内智生副センター長（内閣官房　内閣審議官）。オンラインイベント「Microsoft Security Forum 2020 〜変化に備える 2020年のセキュリティ対策〜」に登壇した（画像提供：日本マイクロソフト）

　「ある時サイバーセキュリティに一生懸命取り組むのはいいが、それが続かないとリスクが発生する。システムやサービスの何を守らなくてはならないかという『ミッションアシュアランス（任務保証）』、セキュリティリスクとどう関わっているのかを知ることで理解できる『リスクマネジメント』、自らが参加する意識を持ち、ともに助け合う『参加、連携、協働』が、持続可能性には大切だ」（山内氏）

　同氏は「Society 5.0に向けて、サイバーセキュリティに政府がどう取り組んでいるのか」「デジタルトランスフォーメーション（DX）においてどのようなセキュリティが必要か」という2点にも触れた。

政府の掲げる反省点　人材育成に見る理想と現実のギャップとは

　中でも、DXに必要なセキュリティ施策として同氏が取り上げたのが人材育成だ。「意思決定を担う経営層と、経営層にドラフトなどを提供する経営マネジメント層に、サイバーセキュリティをどう知ってもらうかが大切だ」と山内氏は話す。政府による人材育成方針において、この点は重要な部分を占めるという。

　山内氏は「インターネットの利用に関連するトラブルに不安を感じている人がかなり多いのにもかかわらず、対策への行動に移している人が少ない」と話す。企業の現場で多くのセキュリティ課題が見つかっているにもかかわらず、経営者がその重大性や新たなセキュリティ施策の必要性を理解せず、組織全体に迅速かつ積極的なセキュリティ施策が生まれない、という課題があるようだ。

　「特に、中小企業、若年層、地域に向けた取り組みが足りていなかったという反省がある。サイバーセキュリティの意識、行動強化プログラムでは、こうした人たちを重点的な対象として取り組みを実施する」（山内氏）

大企業から中堅・中小企業、NPOまで　セキュリティ意識をどう変えるのか

　こうした状況を受け、内閣サイバーセキュリティセンターは、さまざまな規模や事業体にまたがる組織に向けた啓発活動に注力する。

　例えば、セキュリティ担当者を置けない小規模企業やNPO法人などに向けて、サイバーセキュリティを分かりやすく解説した『小さな中小企業とNPO向け情報セキュリティハンドブック』を公開している。また、2020年3月11日から「みんなで使おう サイバーセキュリティ・ポータルサイト」の仮運用を開始した。

　同ポータルサイトについて、山内氏は「政府機関や関連機関でどんなことをしているのかを紹介し、サイバーセキュリティに関して多くの人が思っている疑問点に答えられるようにしている」と話す。

　また、同センターは法曹界や法務担当者向けに『サイバーセキュリティ関係法令Q&Aハンドブック』を発行し、サイバーセキュリティ対策に関連して参照すべき関係法令や判例をまとめている。山内氏は「関係省庁の協力と、係争に携わった弁護士にも協力を得てまとめた。かなり信頼に値するものができたと自負している」と胸を張った。