はじめに
「事業継続性の確保」は、企業経営者に共通する課題である。そのため、これまでの多くの企業が、2005年3月に経産省から公表された「企業における情報セキュリティガバナンスのあり方に関する研究会」参考資料の「事業継続計画策定ガイドライン」を参照しながら、事業継続計画(BCP)の策定に努力してきた。
この事業継続計画のガイドラインは、誰が事業継続計画を構築すべきかについて、次のように示している。
そして、2017年11月に経産省から公表された「サイバーセキュリティ経営ガイドライン Ver 2.0」では、次の重要なメッセージが示された。
- セキュリティ対策の実施を「コスト」と捉えるのではなく、将来の事業活動・成長に必須なものと位置づけて「投資」と捉えることが重要
- セキュリティ投資は必要不可欠かつ経営者としての責務である
さらに、このサイバーセキュリティ経営ガイドラインは、「サイバー攻撃によって純利益の半分以上を失う企業が出るなど、深刻な影響を引き起こす事件が発生している」という危機感を示した上で、「経営者が適切なセキュリティ投資を行わずに社会に対して損害を与えてしまった場合、社会からリスク対応の是非、さらには経営責任や法的責任が問われる可能性がある」と警告に近い表現で、強いメッセージを伝えている。
このように、国が経営者に対して、企業存続の生命線である「事業継続」を死守するよう促し、セキュリティ投資をするよう強く要請しているにも関わらず、多くの現場において、いまだに「従来の発想とやり方」で対策強化をしている状況が見られる。
「従来の発想とやり方」とは
日本企業の経営者が陥りやすい「従来の発想とやり方」とは、端的に表現すると、「安全な領域を確保するために必要最小限のセキュリティ環境の整備」である。
これは、一般的な人間の認知能力や推論能力で把握できる「物理的な安全策(セキュリティ)」を、自組織のコンピューター空間およびネットワーク空間に適用したものと言える。
つまり、不安全な(自組織でコントロールできない)「インターネット」と安全な(自組織でコントールできる)「組織内ネッワーク」の間に境界線(エッジ)を設けて、ファイアウォールや侵入検知システムなどの技術を使いながら、防御を行うことである。そして、ユーザーが PC を操作して境界線を跨いで「インターネット」にアクセスするため、ウィルス対策ソフトを利用して「組織内ネットワーク」への侵入を防ぐようにした。