【みずほ情報総研】今、日本の経営者に求められている「サイバーセキュリティ経営」とは

今、日本の経営者に求められている「サイバーセキュリティ経営」とは
2016年3月8日経営・ITコンサルティング部牛尾浩平
2015年は、日本年金機構に対するサイバー攻撃により大規模な情報漏えい事案が発生したことで、一般の国民の間にもサイバー攻撃の危険性の認識が一層高まった年であったと思う。
こうした中、昨年末に経済産業省、独立行政法人情報処理推進機構（IPA）が「サイバーセキュリティ経営ガイドライン Ver1.0（以下、ガイドライン）（*1）」を公表し、警鐘を鳴らしている。サイバーセキュリティリスクが増大する中、事業を継続し、社会的責任を果たすためにも、これまで以上に企業経営者や担当幹部（CISO（*2）等）の積極的な情報セキュリティ対策への関与を強く求めている。以下では、国による経営者向けの指針としては初となる（*3）ガイドラインの紹介を兼ね、対策を講じる上で必要となる考え方について考察する。
ガイドラインの構成
ガイドラインでは、大企業および中小企業（小規模事業者を除く）のうち、ITに関するシステムやサービス等を供給する企業および経営戦略上ITの利活用が不可欠である企業の経営者を対象として、経営者が認識する必要がある「3原則」と、情報セキュリティ対策を実施する上での責任者となるCISO等に指示すべき「重要10項目」がまとめられている。サイバーセキュリティ対策を経営課題ととらえた上で、経営者と担当幹部は、サイバーセキュリティリスクを認識し、対策の推進に強力に関与することが求められている。
サイバー攻撃は様々な手法によって進化しており、一定の対策をとっていれば確実に防止できるといった性質のものではない。被害の防止だけを目的とはせず、被害を受けた場面でも顧客や取引先にできるかぎり迷惑をかけることのないよう、どのように対応すべきかを事前に検討し、対策を講じる際に、ガイドラインは大変参考になる。特に、経営者が認識すべきポイントが、ガイドラインでは以下に示す「3原則」として簡潔にまとめられている。
経営者が認識する必要がある「3原則」
3原則の1番目として、「経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要」とある。サイバーセキュリティリスクは、例えば、自社の事業がストップし、顧客や取引先に迷惑をかけて取引停止となったり、企業価値や株価の毀損につながったりといったことである。この種のリスク認識に基づく対応は、会社全体の事業の特徴および価値の把握を包括的に行える経営者こそが最終的に判断できるものである。経営者は、自らのリスクに対する考え方を明確にした上で、セキュリティ投資を決断し、CISO等を含む関係者に対して、明確に対応を指示する必要がある。
2番目は、「自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要」であるという点である。これに関しては、ガイドライン上で言及される次の2点について、その違いを理解しておくことが重要と考える。
自社から提供した重要な情報が流出してしまう問題（リスク）
系列企業やサプライチェーンのビジネスパートナーのサイバーセキュリティ対策の不備により、自社への攻撃が行われたり、それが他社の2次被害の誘因となるといった恐れや、加害者になる恐れ（リスク）

前者では、他社に自社の情報をどう守ってもらうかが課題となるが、後者では、他社と自社の関係性により生じうるリスクをどう防いでいくかが課題となる。後者には、前者のリスクも包含されるが、より着眼点が広く、様々なシナリオが考えられる。以下に一例をあげる。
（シナリオ例）
取引先および自社のいずれにも、何らかのセキュリティ上の不備があることを前提とする。まず、取引先が保持する自社担当社員との取引情報を、何らかの方法で外部の攻撃者が不正取得する。次に攻撃者は、自社の担当社員とコンタクトをとって油断させ、マルウェア（*4）が含まれたファイルをメールで送りつける。続いて、自社の担当社員経由で自社ITインフラをマルウェア感染させる。その後、複数のステップを経て、最終的に攻撃者は自社の重要情報の搾取という目的を達成する。
このように、自社と他社が関わりをもつことで、どのようなサイバー攻撃のシナリオが考えられるのかについて想定し、系列企業やサプライチェーンのビジネスパートナーの対策状況の把握を含めて、サイバーセキュリティ対策のPDCAを実践する必要がある。
3番目は、「平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要」であるという点である。平時から関係者の信頼を確保するための取り組みが行えていれば、攻撃された場合や関係者に悪影響を与えてしまう緊急の場面においても、関係者への説明を容易にし、同様の攻撃による他社への被害拡大防止に役立つことが期待できるものとされている。平時から準備すべき事項として、ガイドラインでは、サイバー攻撃に関する情報共有活動への参加のほか、緊急時の対応体制の整備と実践的演習の実施、被害発覚後の通知先や開示が必要な情報の把握等を求めている。
終わりに
サイバーセキュリティリスクがますます増大する中で、企業が適切に事業を継続し、社会的責任を果たすためには、適切なサイバーセキュリティ対策の実施が必要不可欠である。そのために経営者は、攻撃者側の変化や、それを防ぐ企業側の上記の3原則の取り組み状況の把握を通じて、サイバーセキュリティリスクに関する認識を適宜改めていく必要がある。また、そうした経営者を支えるために、サイバーセキュリティ対策に関する対応を組織的に継続することで、より効果のある対策につなげていくことが重要である。

2016年 3月8日
みずほ情報総研　HR

みずほ情報総研
みずほフィナンシャルグループのシステムインテグレーター。コンサルティング、システムインテグレーション、アウトソーシングの3つの事業を柱として位置づけ、幅広い分野においてソリューションを提供している。また、「人材が最大の財産」という考えのもと、特に若手社員育成を中心に人材育成を強力に推進している。みずほ情報総研の教育研修体系は、＜みずほ＞共通の教育研修制度である「みずほフィナンシャルグループ共通研修制度」と、当社独自の教育研修制度である「みずほ情報総研研修制度」の２本柱から構成されており、こうした教育研修制度を組み合わせながら、社員一人ひとりのキャリアプランに沿った研修を行っている。

みずほ情報総研について

コンサルティング業界の最新ニュースをお伝えします。最先端の業界で何がどう動いているのかをWatchすることで、広くビジネス界全体の今後の動きを展望することができるはずです。

ご登録はこちらから

PRIVATE SEMINAR

まずはキャリア相談会から

コンサルタントへの転職・キャリア相談会を電話・オンラインで随時開催中

コンサル業界にご興味をお持ちの方へ

などコンサル転職における疑問点や不安な点についてお答えいたします。

もちろん現在の各社の採用状況や、転職タイミングのご相談など今後のキャリアについてのご相談もお受けしております。

ムービンのご紹介 「初めての方へ」ムービンのご紹介と弊社サイトの活用法

業界トップクラスの実績 【コンサルタント転職に強いエージェント】ムービンを選ぶ３つの理由

少数精鋭・業界エキスパート キャリアコンサルタント紹介 - コンサル業界出身者がサポート -

独自の提供サービス 圧倒的な合格率を実現するムービンの転職サービス

プライベート個別相談会開催中 キャリア相談会 コンサル転職に関する疑問・不安はプロに聞くのが一番早い！ざっくばらんに話せる個別相談会を随時実施しています。今すぐの転職をお考えでない方も歓迎していますのでお気軽にご相談ください。

個別相談会開催中！ 書籍出版記念久留須シニア・パートナー特別キャリア相談会 久留須シニア・パートナーの書籍出版を記念してコンサル業界のこと、キャリアのこと、をお答えする特別キャリア相談会を開催します！

2025年4月21日（月）～2025年5月31日（土）（日程はお申し込み後調整致します） ゴールデンウィーク(GW)特別キャリア相談会 GWでもムービンではご相談をお受けいたします！転職マーケット情報から最新ニーズはもちろん、候補者様のご志向に合わせた、今後のキャリアについてのご相談など個別相談会を随時実施しています。

コンサルティング業界情報

ファームリスト・主要企業一覧

戦略系コンサル一覧総合系コンサル一覧ビジネス＆IT系コンサル一覧シンクタンク系一覧組織人事／チェンマネ系コンサル一覧財務アドバイザリー系コンサル一覧医療・ヘルスケア系コンサル一覧日系／国内独立系コンサル一覧業務＆業界特化系コンサル一覧監査法人一覧企業再生・事業再生系コンサル一覧

2025年5月21日（水）19:00-20:00 締切：2025年5月16日（金）12:00 デロイトトーマツコンサルティング（DTC） TMTユニット　キャリアセミナー デロイトトーマツデロイトトーマツコンサルティング（DTC）のTMTユニットにて、キャリアセミナーが開催されます！興味のある方はぜひこの機会にご参加ください！

2025年5月15日(木) 19：00～20：00 EYストラテジー・アンド・コンサルティング　SAPチームキャリアセミナー 構想策定に軸足を置きつつも、上流から実装まで一気通貫で行うことで、パッケージ導入支援にとどまらず、業務変革支援に携わることができるチームです。SAPに興味のある方は是非お気軽にご参加ください！

2025年5月22日（木）、6月26日（木）19：00～20：00 EYストラテジー・アンド・コンサルティング ITコンサルタントキャリアセミナー 応募意思不問です！BIG4として知られる有名コンサルにて「ITコンサルタント」ポジションのキャリアセミナーが開催されます。IT上流案件に興味がある方はお気軽にご参加ください！

2025年5月7日（水） 18:30～20:00 マーサージャパン　福利厚生コンサルタント　キャリアセミナー 世界最大の組織・人事コンサルティングファームであるマーサージャパンにて福利厚生コンサルタント候補者様向けのキャリアセミナーが開催されます。組織・人事コンサルタントに興味のある方はお気軽にご参加ください！

2025年6月18日（水）19:00～20:30 締切：2025年6月13日（火） ローランド・ベルガーキャリアセミナー 欧州系戦略ファームのローランド・ベルガーが中途採用セミナーを開催します。興味のある方は是非ご参加ください！

2025年5月17日（土）、5月24日 (土) 締切：各回開催1週間前 ベイカレント・コンサルティング　1日選考会 ベイカレント・コンサルティングにて、現職がお忙しく、転職活動に時間を割くことが難しい方に向けて一日選考会を実施いたします！

2025年5月31日(土) 締切：2025年5月27日（火） KPMGコンサルティング　1日選考会 一日で内定獲得！！KPMGコンサルティングのES-SAP部門にて一日選考会が開催されます！貴重な機会ですので是非ご参加ください！

2025年5月26日(月) 18:30～20:00 PwCコンサルティング戦略部門（XVS）中途採用セミナー PwCコンサルティングの戦略部門にて中途採用セミナーが開催されます。戦略コンサルタントに興味のある方はぜひお気軽にご参加ください！

2025年5月20日（火）19:00～20:30 ドリームインキュベータキャリアセミナー 日系戦略コンサルファームのドリームインキュベータにてキャリアセミナーが開催されます。今回はケース面接対策も実施致します！是非ご参加ご検討ください。

2025年5月22日（木）締切：2025年5月20日（火）17：00 三菱UFJリサーチ＆コンサルティング(MURC) 財務アドバイザリー・資本戦略コンサルタントキャリアセミナー MURCの経営戦略ビジネスユニットにて、財務アドバイザリー・資本戦略コンサルタントに興味のある方を対象にキャリアセミナーが開催されます！

2025年5月27日（火）18:00～ PwCコンサルティングサイバーセキュリティ・リスク領域/中途採用セミナー PwCコンサルティングのサイバーセキュリティ部門（TRC-CRR）にて中途採用セミナーが開催されます。Senior AssociateからSenior Managerまで、幅広いタイトルのメンバーからリアルなお話を聞ける機会となっておりますので、ご興味のある方はぜひご応募ください！

2025年5月17日（土） アクセンチュア S&C 合同1Day選考会 アクセンチュア、ビジネスコンサルティング本部(S&C)の合同1DAY選考会を実施いたします。興味のある方は是非ご参加ください！

2025年5月24日（土） 三菱UFJリサーチ＆コンサルティング(MURC) 1Day選考会 三菱UFJリサーチ＆コンサルティング(MURC)にて中堅企業の戦略・新規事業コンサルティングに興味のある方に向けて1Day選考会が開催されます！貴重な機会ですので是非ご参加ください！

2025年5月17日(土) 10:00～ プロレド・パートナーズ 1day選考会 プロレド・パートナーズが休日選考会を開催いたします。本セミナーは会社説明会と1day選考会が開催され、1日で選考完結が可能です。興味のある方は是非ご参加ください！

2025年5月17日（土）、6月14日（土）、6月21日（土）締切：各回開催1週間前 クオンツ・コンサルティング 1day選考会 時価総額最大4,000億円のM&A総研が立ち上げた新興ファームのクオンツ・コンサルティングにて、1day選考会が開催されます。貴重な機会ですので是非ご参加ください！