　佐伯さんは、インターネットが国内に普及し始めた1997年に郵政省に入省して以来、政府や関連機関で情報通信関連の分野を渡り歩いてITの進化を見てきた。振り返ると、インターネットが普及して以来、サイバーセキュリティ対策は常に重要視されてきたという。技術的なトレンドの変化や、世の中に影響が大きいインシデントが起きることで意識が引き締まるなど波はあるものの、総じて関心が高いトピックだ。

取材に応じるNISCの佐伯宜昭さん（基本戦略第一グループ内閣参事官）

　特に昨今はサイバー攻撃で企業の事業が大ダメージを受けた事例などがあり、対策が急がれる。いままでは情報システム部門などがボトムアップで対策を進めてきたが、現在はトップの実行力が問われている。

　とはいえ、経営層の理解が足りない、経営層への説明が難しいという声も聞こえてくる。経営層に何が求められているのか、どう会話すればいいのか。2023年のサイバーセキュリティ月間（2月1日～3月18日）を主催するなど、サイバーセキュリティ領域の啓発や情報発信のプロであるNISCにポイントを聞いた。

セキュリティ意識は向上　減らない被害

　前提として、近年のサイバーセキュリティに対する一般的な意識は高まっていると佐伯さんはいう。自身の生活に近い企業や組織がサイバー攻撃の被害に遭ったり、報道が増えたりしたことで危機感が醸成された。TVニュースでランサムウェアの被害を報道する時、ランサムウェア自体の詳しい解説がなくても通じるようになるなど、変化が表れている。

　危機感があるとはいえ、被害は減っていない。例えばIPA（情報処理推進機構）が毎年公開する「情報セキュリティ10大脅威」の23年版では、組織編の脅威の第1位が前年に引き続きランサムウェアだった。個別の事案を見ても、業種や組織規模など関係なく被害に遭っている。攻撃者が大量にばらまいたランサムウェアに、対策が弱い小規模な組織が引っ掛かってしまったのだ。

　「いまや自社は無関係だといえない状況です。意識を高く持ち、対策していても被害に遭う可能性はゼロではありません。どのようなリスクがあるか把握し、どれだけリスクを減らして被害を起こさないか考え実行することが大切です」（佐伯さん）

経営層の理解が必要　「サイバーセキュリティ戦略」で明記

　サイバーセキュリティ対策を進める上で、経営層の理解が鍵になる。情シス部門など現場では対策の実効性に課題を感じていても、経営層が認識していなければ、そのギャップが企業のセキュリティホールを生みかねない。

　特に昨今はコロナ禍でのIT活用やDXの取り組みなどで企業のデジタル化が進み、テレワークの普及など働き方が変わった。しかし裏を返せば、それらを支えるIT基盤に問題が起きれば企業活動に大きく影響する。「せっかくDXが進んでもリスクが増えたら本末転倒です」（佐伯さん）

　サイバーセキュリティ戦略本部が21年に改定して閣議決定された「サイバーセキュリティ戦略」の中でも、DXとセキュリティ対策の両立を基軸に掲げて次のように記載している。

経営層にとって、デジタル化とサイバーセキュリティ対策は、他人事ではなく、同時達成されるべき業務と収益の中核を支える基本的事項となり、（中略）経営層の意識改革や企業の取組を推進していく必要がある。

国際情勢の変化が経営リスクに　サプライチェーン全体で脅威を管理

　また国際情勢の変化という点でも経営層の関与が重要になる。22年、ロシアがウクライナ侵攻を始めるとサイバー攻撃が世界的に増えた。ロシアを支援するサイバー犯罪グループも登場し、これまで金銭目的だったサイバー犯罪に政治的な意味が加わった。欧米と共にウクライナを支援する日本も攻撃対象になりかねない。実害も出ている。台湾では、ナンシー・ペロシ米下院議長が訪れた際に駅やコンビニエンスストアのデジタルサイネージがハッキングされて、ペロシ下院議長を批判するメッセージが表示された。

　こうした大局的な動きは経営リスクそのものだ。多くの企業が海外に取引先を持っていたり、事業拠点や子会社を置いていたりする。そこと国内拠点のネットワークやIT資産はつながっているため、サプライチェーン全体をチェックしてサイバーセキュリティ対策の有効性を高める必要がある。100％の対策は難しいが、情シス部門だけでなく経営層や一般従業員がしっかり弱点を把握して、万が一インシデントが起きた際にどうするかを事前にマネジメントすることが重要だと佐伯さんは説明する。

対策の重要性　経営層に伝えるには？

ゼロトラストを選ぶ“経営的な意味”ってある？　「やりたいことベース」のセキュリティ対策へ
ゼロトラストは不正アクセスや内部不正に対応できる情報セキュリティ戦略だ。しかし、「攻撃が怖いから」ではなく「こんなビジネスがしたいから」という視点で考えれば、ゼロトラストはテレワークやクラウド活用を実現する基盤であることが見えてくる。
クラウドからの情報漏えい、責任は誰に？　SaaSやPaaSの大前提「責任共有モデル」とは　総務省が解説
クラウドの管理ミスで情報漏えいした――こんなセキュリティ事故の責任は誰にあるのか。クラウドサービスの利用企業が把握すべき大前提「責任共有モデル」を総務省の担当者に聞いた。
相次ぐ漏えい事件、本格的に狙われ出したSaaSベンダー　見過ごされてきた“死角”への対策は
クラウド化の波やコロナ禍の影響により、Webベースの業務アプリケーションが普及したため、悪意を持った第三者にとっては攻撃しやすい状況にある。今回は、最近漏えい事件が相次いでいる「業務アプリ」に焦点を当て、Webセキュリティを解説する。
尼崎事件に見る情報漏えい対策の“いろはのい”　増えている流出ルートは？
尼崎市のUSBメモリ紛失事件で、情報漏えいに再度注目が集まっている今、改めて情報漏えいが起きるルートをおさらいしておこう。情報漏えいには、電子機器の紛失、うっかりミス、退職者によるもの、不正アクセスなどさまざまなルートがある。
中央省庁、サイバー攻撃対策の徹底呼び掛け　経産省、総務省、警察庁、NISC連名で
経済産業省と総務省、警察庁、内閣官房内閣サイバーセキュリティセンターが、サイバー攻撃に関する認識を向上すること、攻撃を早期に検知すること、攻撃検知時の適切な対応などを徹底するよう呼びかけた。