JCICコラム
-----------------------------------------------------------------------------------
品質・安全・サイバーセキュリティ
-----------------------------------------------------------------------------------
JCIC代表理事 兼 上席研究員 梶浦敏範
2024年12月
サイバーインシデントが毎週のように報道されるようになって、以前より多くの人が何らかのサイバーリスクを認識し始めたと感じる。ただし、企業人としてサイバーリスクを考えた時、IT部門/セキュリティ部門の役割と考えている人も少なくない。経営者も「CIO/CISOを任命しているから、やってくれるもの」と期待しているケースがまだある。
「どうしたらサイバーセキュリティを自分事にできるか」は、依然として大きな課題である。そこで日本企業が従業員に徹底していることは何かと考えてみた。法令遵守などは当然として、先輩たちから口伝も含めて教えられたのが2つある。それは「品質」と「安全」だ。本稿では、サイバーセキュリティを品質・安全のように徹底してゆくことが「自分事」への近道ではないかと考察してみた。
軽工業主体の時代から、日本企業は市場から「安かろう悪かろう」と評されて、品質向上に努めてきた。特に製造業では、品質の良さで世界市場に覇を唱えるまでになった。今でも製造業では、品質保証部が大きな権限を持っている。「品質に悪影響がある」と言われれば、どのような部署でも改善に努める。同時に、お客様はもちろん、従業員の安全も絶対条件だった。
そのため、職場の5S(*1)を徹底し、職場環境の改善、美化、衛生を保つとともに、従業員のモラル向上を果たし、業務効率化、不具合の未然防止、職場の安全性向上を成し遂げようとしている。「品質」「安全」に対する意識を高めるために、企業が努力してきたことを振り返ってみよう。
1) 労使(経営層・労働組合)が一緒になって、これらが重要であるとの認識を持つ
2) 眼に見える被害事例を示して、従業員全体に対して教育を行う
3) 意識が薄れる(緩む)ことの無いよう、常に注意喚起する
4) インシデントに至らぬ「ヒヤリ・ハット事例」を集め広く知らしめる
5) 経営TOPから新入社員まで、各層で口伝により取り組みを伝統化する
このような活動を、サイバーセキュリティにも応用できないものだろうか?
いくつか超えないといけないハードルがある。まずインシデントによって業績が低迷し、ステークホルダーに見放されるかもしれないと考えれば、経営層の意識は高まるだろう。しかし一般の従業員への危機感の徹底は十分ではない。また品質不良で事故を招いたり、職場の不衛生で疾病がおきたりすれば、被害は目に見える。サイバー被害は公表事例も多くないし、視覚に訴える要素も多くない。「ヒヤリ・ハット事例」についても同様だ。どこがヒヤリだったのか、気付かないケースも少なくない。
こうしてみると、まずは被害事例やヒヤリ・ハット事例を、可能な限り分かりやすく視覚化する必要がある。IPAはじめ関連機関では、いくつか参考になる資料があるので、まずそれらを参照してもらいたいし、関連機関にはより分かりやすい(小学校教材のような)ものにブラッシュアップすることを期待したい。
続いて、サイバー分野での5S運動も考慮すべきではないか。
◆整理
IT資産を対象とし、使っていないハードウェア、ソフトウェア、ネットワーク、サービス、アカウントなどを廃棄する。
◆整頓
外部サービスの利用設定を適切にする、データやアプリケーションへのアクセス権限を最適化するなど。
◆清掃
ハードウェア/ソフトウェアを最新バージョンに保つこと、ウイルス対策ソフトウェアや統合脅威管理(UTM)の導入など。
◆清潔
ITガバナンス全体が、良好な状態に維持できていること、監査や訓練も含め正しい運用ができていること。
◆躾
習慣化と言い換えてもいいかもしれない。個人スマホ使用やシステムの私的利用を禁じたルール徹底や、インシデントが疑われるときの迅速な対応などができること。
これまで「品質」「安全」で徹底してきた企業文化に、わずかな手直しをするだけで、サイバーセキュリティを根付かせる可能性を考えてみた。前2者との違いは、サイバーセキュリティが向き合っている脅威が、より早く変化し激化すること。ただ企業経営における基本姿勢は変わらないと考える。
*1:整理、整頓、清掃、清潔、躾の頭文字をとったもの
以上