社団法人 日本電気制御機器工業会

講演②「How the Board Should Take Care of Cyber Resilience」

Director, International Relations, Cyber Resilience, TNO Ms. Annemarie Zielstra

Dr. Uli Wienrich

今回は、サイバーセキュリティに対する戦略面を中心に、企業の役員メンバーがどの様に対応する必要があるかを中心に話をする。

サイバーセキュリティに関する問題は、単にIT一部門の問題ではなく、全ての組織・階層で関わり対応が必要なものである。また、その組織・システムがどれだけサイバーイベントに対応できるかを示すサイバーレジリエンス(MTTFとMTTRで定義)を高めるには、企業の役員が率先して話し合う必要がある。ヨーロッパのサイバー戦略ではこのサイバーレジリエンスが最優先事項となってきている。

今では一般のニュースメディアを通して、日常的にサイバーセキュリティの話題が取上げられるようになっている。また、重要インフラにおいては、事業継続における消費者のプライバシーの保護、個人情報の保護などと同様に重要な問題になっており、企業はサイバーセキュリティに関して対策ではなく、 戦略としての取組みが重要になっている。

サイバーセキュリティに関してオランダでは2006年から警察等の政府機関が連携して取組んでいる。また、解決や情報共有のために企業単独ではなく、市民、企業、政府が連携し理解しあう必要がある。また、さらにグローバルな連携も必要になってきている。そのためには事前に理解し合い、様々な形で信頼関係を構築する必要がある。

先ず最初の段階として、リスクが存在するのかどうかを知る必要がある。問題がどこにあるかを理解し、話し合い、情報を共有し、リスクがあることを理解し、本当に重要なものが何かを共有する必要がある。100%のセキュリティ対策はあり得ない。最大のリスクが何かを理解する必要がある。

そして、企業全体として文化・行動を変え、企業DNAに組み込む必要がある。これは企業の役員に対しても必要である。

今日、オランダでは13の ISAC( Information Sharing and Analysis Center)が存在し、官民の機関がサイバーインシデントや良い事例について、信頼できる環境下で情報交換できる仕組みがある。これを通して得た情報から、企業はリスクを正確に評価し、自ら有効な対策を講じることができる。

また、当初私たちは技術部門や中間管理職を対象に取組みを行った。しかし暫くして、経営層の意識が低いという声があり、現在では対象を経営トップにまで広げて活動を行っている。

2013年頃にはサイバーインシデントが実際にオランダ国内でも発生し、サイバーセキュリティの話題が企業の役員会でも取上げられるようになってきた。彼らに対して実際インシデントが発生した時に、誰が会見で答え、インシデントに対する意識と対応が十分であったと答えることができるかと問いかけている。

進歩をするために、インシデントに直面し対策したことから学び改善するというだけではなく、どのように導いて行くかいう考え方を現在はしている。ある企業のCEOは、サイバーセキュリティに対応するための組織のあり方について自ら語っている。

サイバーレジリエンスは、技術を超えた存在である。現在企業の役員を集めたカンファレンス等を行い、戦略アドバイザを入れて、情報共有や戦略の共有を行っている。また、この活動は責任の共有とも捉えている。ロンドンオリンピックでの経験にサイバーレジリアンス的に「何を学ぶのか」なども検討されている。

また、サイバーレジリアンスにおいてSIEMENS社の例の様にサーバー攻撃に関する情報がオープンであり、誰でもが共有できるということが非常に重要である。これらが信頼の上に成り立てばさらに有意義なものになる。また、企業の持続性の確保やステークホルダーへの情報開示の必要性からも、非常に重要になっている。

最も重要なリーダーの役割は、組織全体に対してトップダウンで取組むべき雰囲気を醸成し、戦略を立て、必要な資源を割り当てることである。

我々の長い取り組みの中で、現在では様々なプログラムが民間主導で行われ、政府が支援するという形に進化・成熟してきている。また我々の活動も話し合いから実行を重視したものに変化してきている。

私たちはさらに2020年に向けて具体的な取り組みについて実行することが、今後重要になっていくと考えている。

Copyright 2001 - 2017 NIPPON ELECTRIC CONTROL EQUIPMENT INDUSTRIES ASSOCIATION