「第1回JCIC年次会合」レポート
2018年11月28日、29日の2日間、「第1回JCIC年次会合」を第7回サイバーセキュリティ国際シンポジウム(慶應義塾大学三田キャンパス)に合わせて開催した。
JCICは、「取締役から見たサイバーリスク」、「セキュリティ人材不足は真実か」、「激動する国際環境とサイバーセキュリティ」の3つのパネルディスカッションを実施した。
第7回サイバーセキュリティ国際シンポジウム
------------------------------------------------------------------------
【1】取締役から見たサイバーリスク
------------------------------------------------------------------------
11月28日、第1回JCIC年次会合として「取締役から見たサイバーリスク」と題したパネルディスカッションを行った。パネリストとして、慶應義塾常任理事の國領二郎先生、多くの社外取締役を務める野原佐和子氏、JCIC理事の与沢氏、JCIC主任研究員の上杉氏が登壇。モデレーターはJCICの藤沢理事が務め、約90分間にわたり取締役・経営層の視点からサイバーリスクについて議論した。
■数字でトップは動くのか
取締役会では、事業リスク全体の議論を必ず行うが、サイバーリスクだけが単独の議題として挙がることはあまりない。重要リスクの一つとしては捉えているが、現実化していないサイバーリスクに対して、いくら投資するという話になった途端に議論が停滞しがちである。ここまでリスクが投資によって減るというデータを見せたほうが良い、ヒヤリハットの情報も取締役に共有すべきという意見があった。
■取締役会で何を議論すればいいのか
サイバーリスクを単体で議論するのではなく、経営リスク全体の中の1つとして他のリスクと比較しながら議論する必要がある。例えば、J-SOX対応、内部通報制度などで多くの時間を割いて議論したように、今後、コーポレート・ガバナンス・コードの1つとしてルール化されれば、取締役会での議論が活発になるという発言があった。
■トップとのコミュニケーションのポイント
その組織に合わせたリスクコミュニケーションが必要である。例えば、大学の場合、財務的な損害額よりも、大学病院がダウンする、入学試験ができなくなるなど、身に染みてわかる事例で説明すると効果的である。また、他社と比較して当社はどのレベルなのか、他社と同様の事故が発生したら誰が最終判断するのかなど、身近な話題を用いると関心を得やすい。最後に、トップに説明する際は「素人に説明する」つもりでわかりやすく説明しなければ伝わらないことが強調された。
------------------------------------------------------------------------
【2】セキュリティ人材不足は真実か
------------------------------------------------------------------------
11月29日、JCIC第1回年次会合第2日目に、「セキュリティ人材不足は真実か? - ユーザー企業の視点より」と題した人材育成セッションとして、パネルディスカッションを行った。パネリストとして、カブドットコム証券CIO常務執行役の阿部吉伸氏、メルカリCSO伊藤彰嗣氏、ベネッセホールディングスのコンプライアンス・セキュリティ本部部長を務める北川美千代氏、慶應義塾大学大学院の砂原秀樹教授が登壇。モデレーターはJCICの平山敏弘主任研究員が務め、約60分間にわたりユーザー企業や教育現場の視点からセキュリティ人材育成について議論した。
■本当にセキュリティ人材は不足しているか?
まず、最初のテーマでは、本当にセキュリティ人材は不足しているかについて議論を行った。ユーザー企業の生の声として、「圧倒的にセキュリティ人材は不足しているが、正確にはセキュリティの知見が足りない」、「セキュリティ専門人材より、マネジャーが大事」、「専門人材のような高度な人材をどう活かすかを心得ている人が欲しい」、「事業のデジタル化を進めるためのITがわかる人材が不足しており、セキュリティ人材の不足という議論まで至っていない」などの意見が出た。また、セキュリティ人材不足の影響もあり、システム開発のセキュリティレビューを何回も繰り返すことになり、結果としてビジネスのスピードが遅くなっているなどのリアルな発言もあった。
また、教育現場からの意見としては、「トップノッチはそれなりに育っている。しかし彼らと話せる人間がいない」、「足りないのは上と下。中間層はそれなりに供給されている」との声があった。
■セキュリティが専門でない人材をどう育成すべきか?
大学の状況として、「学生は今「セキュリティ」にとても敏感。講座は満員御礼であり、学部生は300人程度受講している。関心もあるし、就職に益すると思っている」との実態が聞けた。一方で、「課題としては、セキュリティを学んだ学生が社会で活躍しているのかが見えていないこと」も挙げられた。
企業においては、「資格取得を推奨していきたい」とスキルの向上を進めると共に、「人事制度のグレード制の中で、セキュリティ知識の要素も入れたい」など、セキュリティ担当者のキャリアパスについても積極的に取り組んでいる事例が紹介された。また、「セキュリティエンジニアを現在の8名から、2020年に14名に増やす予定」など、具体的なセキュリティ人材増強のプランについても紹介された。
■一般教養としてのセキュリティ
一般教養として、セキュリティ教育を進めるべきであるとの声も聴かれた。「知らないおじさんから飴はもらったらダメ程度の話」が一般には伝わっておらず、添付ファイルをクリックしてしまうのが現状である。そのため慶應義塾大学が主体となり、政府施策の一環で、広く教育の場で活用できるセキュリティ教材を制作したが、こういった取り組みが必要であるとの話があった。
■経営者教育
経営者教育はとても重要であり、経営者に対して「セキュリティは自分たちのこと」であり、「自分たちが責任を取らなければいけない」と理解させることが必要であるため、こちらも慶應義塾大学が主体となり、15分程度の啓発ビデオを作ろうとしている取り組みが紹介された。また、その他の意見としては、「無知な上司を持つほど不幸なことはない」など、マネジメント層のセキュリティ意識が組織や経営に直結しているとの話でセッションを締めくくった。
今回のセッションは、通常ではあまり聞くことのできなかった「ユーザー企業の現場責任者の方々の生の声」による活発な議論が行われ、60分という時間が大変短く感じられるセッションとなった。
------------------------------------------------------------------------
【3】激動する国際環境とサイバーセキュリティ
------------------------------------------------------------------------
11月29日、JCIC第1回年次会合第2日目に、「激動する国際環境とサイバーセキュリティ」と題したパネルディスカッションを行った。パネリストとして、香田洋二氏(ジャパンマリンユナイテッド株式会社顧問、元海上自衛隊自衛艦隊司令官)、JCICの梶浦代表理事が登壇。モデレーターは大澤淳氏(中曽根平和研究所)が務め、約60分間にわたり安全保障におけるサイバーセキュリティについて議論した。
■非対称の戦争
まず、現代の安全保障の特長に関する説明があった。「この10年でサイバー空間は大きく変わり、国家が自国の国益を実現する手段としてサイバー空間を使うようになってきている。今や、サイバー空間における戦いが8割、実際の戦場における武力での戦いが2割とも言われている。これからは、戦争・武力衝突が起きる前にサイバー空間で国と国の衝突が生じるだろう」と、国際環境の現状が述べられた。また、「サイバー空間を駆使することで、戦力をイーブンにすることができる。これは、非対称の戦争とも言う」という説明もあった。
■産業界の危機意識と対策
次に、産業界の危機意識と対策についての説明があった。「国家が関与するサイバー組織による民間企業への攻撃も増えてきている。企業の知財が盗まれ、物理的な損害も発生するリスクがあることを経営層が強く認識し、危機感を持つ必要がある」、「国家等による大規模な組織的攻撃には、一企業では対処できないため、情報共有や人材育成などが重要になる」という民間側の見解が述べられた。
■日本の課題
後半のディスカッションでは、主に日本における組織の弊害や人材活用について議論が行われた。「日本特有の縦割りシステム、村意識のために情報共有も遅れている。産民学官が横断的に連携出来ていない。ただでさえ少ない日本のサイバー資源を無駄遣いしているかもしれない」、「国家でも企業でも、リーダーの最大の責務は、専門家が働ける最高の環境をつくること」という意見があった。また、今後の論点として、「いざという時は民間の優秀な人が糾合して国難にあたるという可能性も考える必要がある」、「国難レベルの事案発生時に政府内に民間企業から人が入ることについての議論はまだなされていない。予備自衛官制度を参考にして、現時点で議論を開始すべき」というコメントもあった。
今回は、安全保障におけるサイバーセキュリティに関する問題提起の初期段階であったが、今後このような議論を定期的に重ねることが重要であるとし、ディスカッションを締めくくった。
