経営を左右するサイバーセキュリティ 経営者の役割と専門家の役割
サイバーシステムの社会や産業の基盤としての重要性は周知のことであるが、DX等の進展によって、さらにその重要性が増加すると共に、そのシステムの障害が社会や事業に与える影響も増大することになる。
企業におけるこのサイバーセキュリティの重要性もまた増してくる状況下で、経営者にとって大切なことは、企業のマネジメントの仕組み自体も変化しなくてはならないことを認識することである。そして、この企業マネジメントにおいて重要性が増大するサイバーセキュリティにおける経営者の役割も当然変化してくる。しかし、サイバーセキュリティは、既知のように経営者だけで実施できるものではなく、専門家の知識も必要な活動であることも間違いない。
サイバーセキュリティでは、これまで経営者が行ってきた企業のリスクマネジメントと、サイバーセキュリティの専門家が行ってきたリスク評価を融合する必要がある。
本論では、サイバーセキュリティにおける経営者と専門家の役割を再構築し、その役割と要点を紹介する。
1. サイバーセキュリティの事業における位置づけと経営者の役割
自社のシステムが社会に好ましくない影響を与えた場合は、その原因の如何に係わらず経営者の責任である。企業におけるトラブルの最終責任が経営者にあることは、当然のことではあるが、責任をとるということは単に事業の最終責任者だからというわけではない。経営者の役割はその事象毎に様々であるが、その対応における役割分担は、意外と整理されていない。特に、対応に専門知識が必要な事象に関しては、経営者の役割は明確になっているとは言えない。
このことは、サイバーシステムの障害がもたらす可能性に対するマネジメントに関しても例外ではない。特に、サイバーセキュリティにおいては、関連する様々な分析や判断において経営者として実施すべきことが多くある。
これからの事業経営においてサイバーシステムに関する知識・技能は必須であり、経営者も例外ではない。もちろん、経営者に専門家と同じ様な知識や技能を持てということではない。
経営者の責任は、サイバーシステムが自社の経営にいかに重要かを知ることから始まる。そして、その重要さに見合った投資を行うこともまた経営者の責任であり権限でもある。この投資は、ハード、ソフトのみならず、人材の確保・育成や他の事業機能との調整も含む。そのために、経営者は、自社が受けたり社会に与えたりする影響を自社のリスクとして評価する必要がある。
サイバーセキュリティに関するマネジメントでは、自社に構築するサイバーシステムの選択が重要となる。この評価には、どのような機能を持つサイバーシステムを導入するかということ以外にも、自社にサイバーセキュリティを含めたサイバーシステムの運用力がどの程度あるかが重要な判断要素になる。
また、サイバーセキュリティを脅かす原因は、外部からの攻撃のみならず、自然災害、システム設計や運用のミス等もその対象となる。このことは、原因毎にその分析方法や対策が異なることから、サイバーセキュリティの重要な検討要件でもある。
これらのことを総合的に判断して、他の投資事項との比較においてどれだけサイバーセキュリティに投資を行うかは、先にも記したように経営者の権利であり責任である。
2. サイバーセキュリティにおける専門家の役割
経営が示した重要なリスクに対してサイバーに関するリスクがどのように関与するかを考えるのは、専門家の役割である。
専門家にしかできない活動は、サイバーに関する注意すべきリスクが変動した場合には、まずその情報を経営に上げサイバーシステムのリスクの変動が、経営リスクにいかに影響を与えるかを検討してもらうことである。この情報を用い、経営者はサイバーに関するリスクの変動が自社の経営・事業リスクに与える影響を再評価することとなる。
専門家は、サイバーに関係するリスクに関して、最新の情報に基づく分析を行う必要がある。ここで重要なことは、情報を集めて共有するだけではなく、情報に基づく分析を行い、サイバーに関与するリスクを再評価すると共に、専門家として効果的と考えるリスク対策の選択肢を検討することである。
この分析に際しては、サイバーセキュリティのリスク評価において、外部からの攻撃や自然災害の脅威等のハザードの分析だけでなく、自社の運用力や対応力の分析を正しく行うことが必要である。そのため、サイバーセキュリティの専門家は、サイバーシステムに関する専門家だけでは十分でなく、その組織全体の運用力や部署ごとの運用力の差異に関する分析力の専門家、さらには、組織にあったサイバーセキュリティ教育の設計者であり、実施能力を有しなくてはいけない。もちろん、このような能力を個人で有する必要はなく、チームとしてその能力を有していればよい。
また、サイバーセキュリティの専門家は、サイバーセキュリティの教育に関して、経営者、中間管理職、サイバーセキュリティ関連部署の社員、一般社員等に必要な教育を行うことも求められる。
3. サイバーセキュリティとマネジメント
サイバーセキュリティは、これからの先進技術社会における企業マネジメントの試金石である。
企業は、まず自社が関与している事業と使用しているサイバーシステムの関係を整理する必要がある。対象は、自社のサイバーシステムのみならず、事業に活用している他社が提供しているサイバーシステムも含まれる。
自社で実施するサイバーセキュリティは、自社所有のサイバーシステムが主体となるが、他社が提供しているサイバーシステムのセキュリティを評価し、対象システムが機能しなかった際の代替策等の検討も含まれる。
また、サイバーセキュリティマネジメントでは、サイバーシステムの障害を未然に防ぐリスクマネジメント技術と、障害が発生した場合の危機管理技術の双方を含む。この二つの技術は異なる技術であり、一方の運用や対応能力があったとしても、他方の能力があるとは限らない。
マネジメントでは、この双方の専門家を育成するとともに、経営者は、その要点を学習し、訓練によりその能力を確かなものにするべきである。