
ビジネスにおける サイバーリスクの考え方と リスクコミュニケーションの必要性
サイバーセキュリティ戦略本部 エグゼクティブエキスパート 武智 洋
日本で企業へのサイバー攻撃が最初に一般に認識されたのは、2011年夏であった。当時はまだ、サイバーセキュリティは経営の課題であるとの認識は薄く、情報システムの運用管理の問題として取り扱われ、情報システム部門が責任という認識であった。
DXの時代に入り、ビジネスの技術基盤(インターネット、クラウド等)、デジタル化された様々な資産(情報、知財権、データ等)の依存度が拡大しており、同時に企業のサイバーリスクも増大している。それとともに、2015年にサイバーセキュリティ経営ガイドライン(初版、2017年にVer2.0)公開、2018年に経団連のサイバーセキュリティ経営宣言が行われ、企業にとってサイバーセキュリティが経営の課題であると認識されるようになってきている。
多くの経営層が、セキュリティが重要であるとの認識を持ちつつあるものの、サイバー脅威は常に変化するものであり、また、サイバーセキュリティの技術面、実務面に詳しくないこともあるので、どのように取り組むべきかを理解し判断することは難しい。経営層として、組織の中でサイバーリスクにどう対応すべきか、理解し実践していけば良いのだろうか。一貫した方法を見出すこと簡単ではないが、経営層とセキュリティ担当者ならびに事業担当者の間のコミュニケーションが大事と考えている。
1. サイバーリスク対応の位置づけ
サイバーリスク対応を経営課題とするためには、会社活動のどこに位置づけるかは重要である。以前のようにセキュリティの問題を情報システムの運用管理の問題と捉え、情報システム部門の責任としていては、ビジネスを担当する様々な部署を巻き込むことが出来ず、ビジネス上のセキュリティ問題への効果的な対応が出来ないままになる。
また、会社法施行規則第100条1項では、企業リスク管理が求められている。サイバーリスクも全社のリスク管理規定・体制に位置づけるべきであろう。
全社のリスク管理は、
- ・様々な環境変化を捉えてリスク状況を見直し、対応すべきリスクの把握を行う。
- ・自社のリスク対策が適切に実施されているかを関係する担当者が確認する。
というサイクルを回すことになる(図1)。その中にサイバーリスク管理の観点から対応すべき項目を組み込むことで、サイバーリスクは全社リスク管理*1の一環との共通認識が醸成され、組織でのリスクコミュニケーションの基盤となる。

2. リスクコミュニケーションとリスクセンスの醸成
経営の課題として、サイバーリスクを議論する場合、取締役会で定期的に議論されることが必要である。さらに、取締役会はサイバー脅威を理解し、サイバーセキュリティ担当部門から報告を受ける以上の役割を果たし、社内でのサイバーリスクに関するコミュニケーションに積極的な役割を果たすことが求められている*2。
サイバーリスクに関するリスクコミュニケーションを以下の3つの立場から考える。
-
- ・経営層
- 経営者は、サイバーリスクに限らず、ビジネス上の各種リスクに対して対応責任・説明責任を担っている。サイバーリスクは自社のビジネスへの影響度がどうであるかを認識し、組織にとって優先度の高い場合には最終的な決定を行う。ビジネスを行っていく上で組織のサイバーリスクへの耐性(サイバーレジリエンス)を認識することと、向上することに関心がある。
-
- ・事業部門/ビジネスオーナー
- DXにおいては、ITやサイバーの利用がビジネス価値を創出あるいは付加するため、IT技術やデジタルデータ活用基盤を検討すると同時に、それには必ずセキュリティ対策が必要となる。また、その主導は企業活動の様々なところで行われ、その遂行にあたってはそれぞれの活動ごとに担当する推進組織が実施責任を負っている。その責任にはセキュリティ対策も含まれており、ビジネス上のサイバーリスクの第一の責任はビジネスを担当している事業推進者と考えるべきである。また、ビジネスオーナーとしてビジネスとサイバーリスクのバランスを検討し決定も担う。
-
- ・CISO/セキュリティ統括*3
- 会社全体のセキュリティ対策を組織横断的に統括し、組織全体のサイバーレジリエンスを向上するための活動をリードする。また、全社のセキュリティレベル向上のためのセキュリティ教育を実施し、事業部門がサイバーを活用する際に必要なセキュリティ対策やデューデリジェンスとして実施すべきことを提案する。
可能な限りサイバーリスクについて定量化しインパクトを明らかにし、経営層や事業部門がサイバーリスク対応について決定可能なように支援する。

リスクコミュニケーションは、サイバーセキュリティと収益性のバランスをどのように取るかについての共通理解を得ることが目的である。例えば、事業部門が新しいビジネスを開始するにあたり、実施すべきセキュリティ対策については、実施しなかった場合のリスクと合わせて、CISO/セキュリティ統括から、事業部門に提案するべきである。もし、提案されたセキュリティ対策を実施することにより、ビジネス上の影響がある場合には、リスクと収益のバランスを考慮し、事業部門が対応を検討する。逆に、そのセキュリティ対策実施を見合わせてビジネスを進める場合には、リスクヘッジのためのリスク対策費を用意するなどの対応を検討し、最終的には、経営層が判断を下すということになる。
このようなリスクコミュニケーションがすべて金額に換算して議論が出来れば、共通理解は得やすい。実際にはセキュリティ対策の費用対効果、インシデントが発生したときの被害額を定量的に算定することは難しく、定性的な判断をせざるを得ない。そのため、三者間で定期的な議論を行い、サイバーリスクへの自社の状況を共有し、共通認識(リスクセンス)を醸成しておくことが重要である。
終わりに
サイバーリスクに関しては、今は、経営課題としての認識から経営者の姿勢を発信する時代に入ってきていると言われている。 また、海外、特に米国では企業の格付けの一要素として、サイバーリスクへの対応が扱われるようになってきており、企業の取引の際に問われるようになってきている。日本企業においても、否応が無しに対応が必要になってくると予想される。その際には、実際どのように経営課題として取り組んでいるかが問われる。
サイバーリスクに対する共通認識を醸成できるように、組織内でリスクコミュニケーションを行う機会を定期的に持ち、サイバーに対するリスクセンスを磨くことが重要である。
-
- *1
- 一般社団法人日本経済団体連合会「サイバーリスクハンドブック 取締役向けハンドブック 日本版(2019年)」では、原則1として「取締役は、サイバーセキュリティを、単なるITの問題としてではなく、全社的なリスク管理の問題として理解し、対処する必要がある。」と述べている。
-
- *2
- 一般社団法人日本経済団体連合会「サイバーリスクハンドブック 取締役向けハンドブック 日本版(2019年)」の原則3「取締役会は、サイバーセキュリティに関する十分な専門知識を利用できるようにしておくとともに、取締役会の議題としてサイバーリスク管理を定期的に取り挙げ、十分な時間をとって議論を行うべきである。」とされている。
-
- *3
- 経済産業省「付録F サイバーセキュリティ体制構築・人材確保の手引き 第1.1版」