Loading...
Loading...
提言1 :すべての市民がオンラインにアクセスできる環境を整備せよ
提言2 :デジタル社会における本人認証スキームを確立せよ
提言3 :デジタル社会システム全体の運用管理に十分な人員・予算を配分せよ
提言4 :すべての市民が利用者教育を受ける権利を保証せよ
提言5 :「えせデジタル社会」の罠に陥るな
NEW! このレポートでは、DX with Security先進企業のための戦略策定の推奨アプローチとして、以下の内容を提案するものである。
● サイバーリスク数値化モデルを用いリスクを可視化せよ
● DX with Security 戦略を策定せよ
- ストーリーとして戦略を語るためのフレームワークを活用すべき
- セキュリティ投資額は、連結売上高の「0.5%以上」を投資すべき
- セキュリティ人材は、全従業員数の「0.5%以上」を確保すべき
● セキュリティ KPI を設定し、定期的にモニタリングせよ
・サイバーリスク指標モデル「想定損失額の目安」簡易シミュレーション
(Excel)
JCICから、新たな概念として提示した「プラス・セキュリティ人材」。今、その必要性が認知され、「プラス・セキュリティ」に向けた施策や政策が多くの場で議論され始めている。本レポートは、プラス・セキュリティ人材育成の必要性に加えて、セキュリティ人材可視化の推進を掘り下げ、その必要性を訴えるものである。安全・安心な社会の実現および、安全を考慮した攻めのIT投資となるDX with Securityを実現し、競争力の高い企業になるためには、従来の「規制や禁止」による守りの実現だけでなく、「加速の推進役」となる、新たな考え方である「攻めのセキュリティ」が必須となる。
新型コロナウイルス感染症の拡大により、多くの企業や組織では、テレワークを想定していなかった部署にも在宅勤務を推し進めたことで、利便性とセキュリティリスクのバランスが崩れた。来たるべき非接触型社会に向けて、企業は現状の利便性とセキュリティのバランスを見直す必要がある。JCICが各企業の動向についてインタビューや文献調査を実施したところ、各社で利便性とセキュリティ・コントロール(管理)の考え方に大きな違いがあり、4つのタイプに分類できることがわかった。そこで、4つのタイプを整理した「利便性とセキュリティのバランスモデル」を新たに作成した。
当レポートは、DX時代と言われるデジタル前提社会において求められている「攻めのプラス・セキュリティ人材」の必要性と育成を訴えるものである。従来のセキュリティ人材に求められていた「守り」の姿勢から、DX時代と言われるデジタル前提社会においては、積極的な攻めの姿勢が新たなセキュリティ人材像として求められている。近い将来に起こるであろう攻めのプラス・セキュリティ人材不足を回避するため、企業の競争力強化のためにも、セキュリティ人材育成の必要性を理解いただき、今の時点から当レポートで訴えた内容を実行に移すことが急務である。
本レポートでは、企業の平時のセキュリティ対策の情報公開に焦点を当て、広く発信するメリットや今後の論点を提示する。情報発信する際は、サイバー攻撃のヒントになるような情報などは公開する必要はなく、経営者の取組み姿勢を広く発信すべきである。経営者は自ら率先して、株主・顧客・取引先などのステークホルダーに対して、セキュリティへの取組み姿勢や体制などを情報公開していく必要がある。
本レポートでは、セキュリティ事故による損失額を軽減し、デジタル技術を活用したイノベーションを推進するための「サイバーセキュリティのKPIモデル」を紹介している。このモデルは、国内企業や海外企業がどのようなKPIを設定しているかについての調査をJCICが実施し、各社からヒアリングしたKPIを3段階の成熟度に割り振り(横軸)、5つの施策の種類(縦軸)で分類したものである。
・【別紙】サイバーセキュリティに関する KPI の例(PDF)
セキュリティ人材は、ITベンダー/セキュリティ関連企業に所属し、セキュリティを主たる業務とする「セキュリティ専門人材」と、本来の業務を担いながらITを利活用する中でセキュリティスキルも必要となる「プラス(+)・セキュリティ人材」に大別できる。当レポートは、人材が大きく不足しているのは、プラス・セキュリティ人材であることを示すと共に、今後取るべき対策について提言するものである。
情報流出等が発生した企業では、株価が平均10%下落し、純利益が平均21%減少していた。もはや、サイバーセキュリティはIT部門だけの問題ではなく、経営リスクである。取締役や経営者等が理解できる「サイバーリスクの数値化モデル」を用い、経営視点でサイバーリスクを把握できるようにする必要がある。
・サイバーリスク指標モデル「想定損失額の目安」簡易シミュレーション(Excel)
諸外国では、「サイバーセキュリティに関する法規制」を強化することにより官民の情報共有を促進し始めている。日本としては、これらの法規制によって諸外国のサイバーセキュリティ対策が実質的に強化されるのか、また官民の情報共有が徹底されるのかを見極める必要がある。
NEW! 中国は、中国国内にあるデータの管理を一層強化する傾向にある。中国にとってデータは資源であり、国家として保護するべき対象であり、サイバー空間における主権、公共の利益や国家安全を保護するための国家政策の中心に据えられるべき重要事項なのである。
本稿は、中国のデジタル・情報・サイバーセキュリティに関する政策を知り、現在の中国の動向や安全保障観を理解することで、中国を含む海外事業に携わる、あるいは中国の政策やサイバーセキュリティ事情に関心を有する読者に新たな知見がもたらされることを期待するものとなる。
本稿では、著者が経済産業省安全保障貿易審査課長時代、DXを進める際に情報セキュリティ対策が不可欠であると確信した事例を取り上げている。DXの企画立案段階から情報セキュリティ対策を、DXの具体的な実現方策の一部として検討を始めることにより、より効率的で効果的なものとすることができるようになる。こういったプラクティスが広く普及することが期待される。
(東海大学情報通信学部/国立情報学研究所客員教授 三角育生)
JCICが国内の金融機関のセキュリティ責任者へのインタビューを行ったところ、「KRI」を用いてサイバーリスク管理を行っている事例が複数社ありました。これらの金融機関では、なぜサイバーリスク管理に「KRI」を用いているのでしょうか。本コラムでは、セキュリティ部門やリスク管理部門を想定読者とし、リスクをモニタリングする指標である KRI とは何か、どのような効果が期待できるかを説明し、日本企業への示唆を示します。
・【別紙】サイバーリスクのKRI例.pdf(PDF)
サイバーセキュリティ・個人情報保護に関する政策動向。今まで「JCIC海外ニュースクリップ」で配信した諸外国の法制度についてまとめ、今後の新しく制定される見込みの法制度について解説する。
今回のコラムでは、2021年度下半期(2021年10月~2022年3月)に配信した139件のJCIC海外ニュースのトレンドを分析し、今後の政策動向を占う重要な出来事の解説を行う。
サイバー攻撃を受けて社会に大きな影響が出た場合、その総括の場で、経営トップは何をどう語り、政治家は何を経営トップに問うのか。2021年5月に米ランサムウェア攻撃を受け、米国東海岸の燃料不足や価格の急騰など社会に大きな影響を及ぼしたコロニアル・パイプライン社。発生から1ヵ月後にCEOが出席した米上院議会のヒアリングでのコミュニケーションを事例に、経営トップと政治家のあるべき姿について検討する。
今回のコラムでは、2021年度上半期(2021年4月~2021年9月)に配信した142件のJCIC海外ニュースのトレンドを分析し、下半期の政策動向を占う重要な出来事の解説を行う。
解決すべき課題に関し、トップの姿勢が方向性に大きく影響するのは企業でも国家でも同様だ。サイバーセキュリティを各国の指導者がどう考えているかを、そのメッセージから探る。第1弾は米国。2021年1月の就任から現在までのバイデン大統領のメッセージから、サイバーセキュリティをどうとらえているかを検討する。
DX推進には多くの課題が想定されるが、そのなかでも最大のものは「Cybersecurity対策」である。DX化を進めれば事業の多くがICT基盤に拠ることになり、ICTの障害やそれへの攻撃は事業継続に支障をきたすことになる。ICT製品には設計初期段階からセキュリティを考慮するという「Security by Design」が求められているが、事業そのものにも「DX with Security」が求められようになっている。
JCICでは、中国における昨今のインターネット空間における発展状況や動向への理解を深めることを目的として、中国国務院(CAC)の直轄機関である「中国インターネット・ネットワーク・インフォメーション・センター(CNNIC)」により作成された報告書と、2001年に設立された「中国CSIRT」により作成された報告書である以下2点のうち、特に日系企業の関心が高いと思われる情報を本資料に抜粋して紹介します。
・「第47回中国インターネット発展状況報告書」(CNNIC作成)
・「2020年上半期サイバーセキュリティ分析報告書」(中国CERT作成)
今回のコラムでは、2020年度(2020年4月~2021年3月)に配信した184件のJCIC海外ニュースの傾向を分類し、今後の動向に影響を与えうる記事を解説します。
中国では初めての包括的な個人情報保護法(草案)が審議され、大きな注目を浴びています。本コラムでは、草案の中から日系企業の関心が高いと思われる内容をご紹介します。
新型コロナウイルスの猛威が長引いており、世界各国に大きな影響を与えている。このような状況の中、サイバーセキュリティに携わる者として大いに参考になると感じた点をお伝えする。
本稿では、企業におけるサイバーセキュリティ対策状況の可視化を求める国内の議論を振り返り、情報を開示する/あるいは開示を求める際の考え方を整理した。
本稿は近年のOECDのサイバーセキュリティのとらえ方、取り組み等を見ていくものである。
本コラムは、次世代通信技術(5G)を巡る米中対立やサイバーリスクについて取り上げる。
本コラムは、医療機関のデジタル活用とサイバーセキュリティについて取り上げる。
蔓延する新型コロナウイルス感染症の対応に各国が追われている。人と人との接触により患者が増えていく中、患者の行動、他人との接触状況などの情報を収集することが感染拡大の回避につながるが、他方でこれは、個人のプライバシーの侵害にもなり得る。英語情報が入手出来る国・機関の最新関連情報を主としてまとめる。
本コラムでは、情報提供者保護を法的に担保する「米国サイバーセキュリティ情報共有法」を解説するとともに、日本の情報共有を促進するための検討事項をまとめた。
本稿では、サプライチェーン管理におけるサイバーセキュリティリスクをどのようにITガバナンスに組み入れるかを考える材料として、IT管理に関するガイドラインや認証規格のうち代表的なものをまとめた。
重要インフラの保護・防護を考える材料として、操業妨害に対する処罰規定を取り上げる。
地政学的に見ても隣国の政策や動向を理解することは、日本政府や民間企業の責任者が今後のサイバーセキュリティを考えるうえで、非常に有益になる。このコラムでは、韓国のサイバーセキュリティの現状について、紹介する。
サイバーセキュリティ人材が不足しているという話をいろいろなところで聞くが、人材に限らず日本企業が十分なサイバーリスクに対する投資をしているかというところまで戻らないと、本当の解決には結びつかない。今回のコラムではリスクマネジメントへの投資について考察する。
サイバーセキュリティは一昔前では「マイナー競技」であったが、最近は「メジャー競技」になってきており、人材育成についても従来の方法から転換する時期に来ている。スポーツのメジャー競技化に例えて人材育成について考察する。
リスクマネジメントとは、やればやるほど新しいリスクや対応の不備が見える。サイバーセキュリティにおけるリスクマネジメントのパラドックスについて解説する。
2022年4月26日(火)、一般社団法人日本経済団体連合会専務理事の根本勝則氏をお迎えし、「Society 5.0の実現に向けたデジタル政策」をテーマにした朝食会を開催しました。
2022年3月3日、JCICは「経済安全保障と企業のサイバーセキュリティ」をテーマに年次会合を開催しました。当日は、約60名のサイバーセキュリティに関わる方々がオンラインで参加しました。
2021年12月23日(木)、初代デジタル大臣の平井卓也氏をお招きし、「加速するデジタル改革:その先の日本」をテーマにした朝食会を開催しました。
2021年2月19日、JCIC会員企業を対象に年次会合を開催しました。当日は、約40名のサイバーセキュリティに関わる方々がオンラインで参加し集まり、「利便性とセキュリティのリバランス」をテーマに議論を行ないました。
2020年10月15日、台湾工業技術研究院(ITRI)とJCICは、第2回となる日台サイバーセキュリティ対話「5G世界における情報セキュリティの機会を探る-日台対話」を開催しました。当日は、オンライン会議の形式で、台湾から10名、日本から15名が参加しました。約2時間半の会議では、5Gの動向やセキュリティ対策の講演が行われ、活発な議論が交わされました。
2020年7月30日(木)、竹中平蔵氏(JCIC理事、東洋大学教授、慶應義塾大学名誉教授)をお招きし、「コロナの時代にグローバル・リーダーはサイバーセキュリティをどうとらえているか」をテーマにした朝食会を開催しました。
2020年1月27日、JCIC会員企業を対象に年次会合を開催しました。当日は、約40名のサイバーセキュリティに関わる方々が集まり、日本の取り組みや人材育成をテーマに講演の受講や議論を行ないました。
2019年12月20日(金)、日本電気株式会社取締役会長の遠藤信博氏をお招きし、「ボーダーレス・サイバー空間を高い価値が生まれる場とするために」をテーマにしたJCICの第4回朝食会を開催しました。
2019年12月、慶應義塾大学にて「サイバーセキュリティ国際シンポジウム」が開催されました。JCICは、12月12日に「企業セキュリティの情報公開の指針を」と題したパネルディスカッションを行いました。
JCICは、昭和女子大学グローバルビジネス学部ビジネスデザイン学科と連携し、サイバーセキュリティに関する3回の講義を実施しました。
2019年9月2日に「伝え方:話し方」に焦点をあてた講演会を開催しました。当日は、元NHKアナウンサー松本和也さん(株式会社マツモトメソッド代表取締役)をお招きし、レクチャーしていただきました。
2019年8月5日(月)、情報セキュリティ大学院大学学長補佐 湯淺墾道教授をお迎えし、「人材育成ラウンドテーブル」を開催しました。
2019年7月11日(木)、慶應義塾大学にて「サイバーセキュリティ国際シンポジウム」が開催されました。JCICは、“日本企業が本当に必要とする人材とは? ~今必要なのは「プラス・セキュリティ人材」だ~”と題しパネルディスカッションを行いました。
2019年3月、ロンドンを本拠地とする国際的なメンバーシップ組織であるInformation Security Forum(ISF)のUKチャプターミーティングにJCICが参加しました。カンファレンスの様子や日本企業が学ぶべきポイントについて解説します。
2019年3月19日(火)、元陸上自衛隊研究本部長・陸将の山口昇様(国際大学副学長、笹川平和財団参与、JCIC理事)をお招きし、「激動する国際情勢とサイバーセキュリティ」と題したJCICの第三回朝食会を開催。
2018年11月28日、29日の2日間、「第1回JCIC年次会合」を第7回サイバーセキュリティ国際シンポジウム(慶應義塾大学三田キャンパス)に合わせて開催した。
2018年10月25日(木)、第一回JCICアドホック会合を開催。当日は、10名の方にご参加いただき、「30日でサイバーセキュリティ担当幹部になる!」をテーマに活発な議論を行った。
2018年7月19日(木)、自民党IT戦略特命委員長の平井卓也議員をお招きし、「サイバーセキュリティ戦略の改正」と題したJCIC第二回朝食会を開催。
2018年7月12日、韓国ソウルで「日本のサイバーセキュリティの現状」と題したプレゼンテーションをJCICが行いました。
2018年7月5日(木)、JCICオフィスにて「第二回JCIC若手人材育成ラウンドテーブル」を開催した。当日は、明治大学の齋藤孝道教授、京都産業大学の秋山豊和教授の2名をお招きし、JCICの会員企業とサイバーセキュリティ人材育成における産学連携についてディスカッションを行った。
2018年4月27日(金)、慶応義塾大学三田キャンパスにて「JCIC若手人材育成ラウンドテーブル」を開催した。当日は、慶応義塾大学から砂原教授、中村教授、手塚教授の3名の教員、JCICから9名の企業責任者が参加し、サイバーセキュリティ人材育成における産学連携についてディスカッションを行った。
2018年4月18日(水)、日立製作所取締役会長の中西氏をゲストとしてお招きし、「今産業界に求められるサイバーセキュリティとは」と題したJCIC第一回朝食会を開催した。
2018年3月29日(木)・30日(金)、慶應義塾大学にて「サイバーセキュリティ国際シンポジウム」が開催され、JCIC代表理事の梶浦、主任研究員の平山がパネルディスカッションに登壇した。
JCICでは、会員企業の皆様へ「海外の政策動向、M&A/IPO動向ニュースクリップ」を毎週配信。過去分のニュースクリップを、JCICのウェブサイトでも公開。
国内・海外のサイバーセキュリティに関する官民連携・情報共有の政策を調査分析し、日本における課題を具体化し、解決策となる政策を提言する。
公共機関や民間企業に求められるサイバーセキュリティ人材像を議論し、教育や啓発の施策を提言。サイバー人材育成施策の提言、サイバー人材の「見える化」・指数化に関する提言、教育カリキュラム標準の策定、キャリアパスの整備、評価制度の作成等を行う。