これなら納得！セキュリティを社長に説明するための「サイバーリスク見える化ツール」活用法 [ ITレポート ]

HOME > 情報システム分野 > IT レポート > これなら納得！セキュリティを社長に説明するための「サイバーリスク見える化ツール」活用法

【内田洋行ITフェア2019in東京】これなら納得！セキュリティを社長に説明するための「サイバーリスク見える化ツール」活用法

サイバーセキュリティはITだけの問題ではなく、企業経営を脅かす問題になっています。しかし、サイバーセキュリティは専門用語が多く、経営者に重要性を伝えることは簡単ではありません。今回の講演では、サイバーリスクの見える化ツールを用いて、どうすれば経営者に必要性を伝えられるかというポイントを紹介します。

コンサルティング会社において、官公庁や民間企業に対するサイバーセキュリティ戦略立案、サイバー演習、インシデント対応支援、M&A戦略策定に従事。また、サイバーセキュリティの国際会議やイベントの企画にも携わる。

なぜサイバーセキュリティが重要か

（1）はじめに

JCICは、安心安全なデジタル社会を確立することを目的とし、2017年に発足した非営利・独立の民間シンクタンクです。

サイバーセキュリティは、ITだけの問題ではなく、企業経営を左右する問題になっています。しかし、セイバーセキュリティを理解してもらうには専門用語が多く、経営者にその重要性を伝えることは容易ではありません。

社長がサイバーリスクを自分ごととしてとらえるためには、 “お金”という経営の共通言語を用いることが効果的です。つまり、サイバーリスクによって、どのくらい損をする可能性があるのか、金額で提示していくことが大事なのです。

（2）日本社会の課題

ご周知のとおり、日本では生産年齢人口の減少が大きな問題になっています。それにもかかわらず、GDPは上げていかなければならない。これまでは長時間労働でしのいできましたが、それも限界にきている。業務を効率化して生産性を高めていくしかありません。そこで、ICTを活用したイノベーションが重要となっています。政府もソサエティ5.0構想を打ち出し、デジタル技術を活用して、さまざまな社会問題を解決していきましょうという方針を出しています。

しかし、デジタル化が進めば進むほど、サイバーリスクも高まります。

なぜ、サイバーリスクへの備えが大切なのでしょうか。

（3）サイバー攻撃の脅威

デジタル化社会では、サイバー攻撃によって、企業価値が一瞬で低下し、経営者責任が問われます。

たとえば、アメリカのターゲット社、エクイファイス社では、サイバー攻撃のためにCEOが退任しました。国内のあるゲーム会社では、経営者が1年間の報酬を返上、国内のある市長は2カ月間10%の減給。集団訴訟のリスクもあります。ある国内企業は、株主代表による訴訟が提起され、現在も審議中です。米国の保険会社ANTHEM社は約127億円の和解金を株主に支払いました。アメリカのエクイファイス社は、セキュリティ事故に関するインサイダー取引で有罪判決を受けています。

他の事例も見てみましょう。

以下は、ここ数年の主なサイバー攻撃の事例です。

2014年の日本企業での漏洩事件は、委託先の元社員による犯行でした。2015年は、公的機関がウイルス感染し、個人情報が漏洩しました。2017年から頻発しているランサムウエアは、身代金要求型ウイルスです。パソコンやサーバー上のデータにロックをかけ、解除してほしければビットコインでお金を払えというソフトで、ここに挙げた以外でも多くの企業が被害に遭っています。不正アクセス、いわゆるハッキングの被害も増えています。2018年1月に、仮想通貨取引所がハッキングに遭い、約580億円のビットコインが流出しました。

（4）サイバー事故による具体的な損害は

このような事件によって、株価はどう変動するのでしょうか。

私が所属するJCICで調査したところ、セキュリティインシデントが起こった18社のうち、50日後に約1割の企業の株価が下がっていることがわかりました。とくにポイントとなる点は、東証一部上場企業よりも、それ以外の、東証二部とかマザーズ上場の中堅どころの企業のほうが株価を落としていることです。

利益にはどのような影響があったのでしょうか。同様にJCICの調査では、事故後の純利益は、21%もダウンしていることがわかりました。これは、事故対応費用、システムの再構築費用などのコストが利益を圧迫したためと考えられます。

このような数字を用いると、経営者にはそのリスクを肌感覚で理解してもらえると思います。

（5）もはや「うちだけは大丈夫」は通用しない

しかし「うちは大丈夫」という経営者もいるでしょう。その場合は、次のようなデータを用いると効果的かもしれません。

参考：https://www.ipa.go.jp/security/fy29/reports/ciso-csirt/index.html

従業員300人以上を対象とした調査（2016年10月上旬～11月上旬）によると、日本では1年間に52%の企業にサイバー攻撃が発生しており、25%の企業に、実際にサイバー攻撃の被害が発生しています。つまり。年間およそ4分の1の確率で被害に遭っているということです。

サイバー攻撃は世界規模で頻発しており、もはや「うちは大丈夫」とは言えない状況にあります。大企業だけが狙われるわけではなく、下請け企業が攻撃の踏み台にされたり、情報を得るために関連企業が狙われることもあります。

サイバーリスクを数値化する

金額を用いると経営者を説得しやすいと冒頭で言いました。実際の被害額の事例も見てきましたが、自社にはどのような被害の可能性があるのかまでわかれば、さらに説得力は増します。

そこで、見ていただきたいのが、次の数値化モデルです。

参考：サイバーリスクの数値化モデル（年商100億円企業における社内報告資料例）
https://www.j-cic.com/reports.html#org_ovrvw1

上図は、年商100億円企業の事例ですが、右の欄に算出の根拠を示しています。これを自社に当てはめることでおおよその被害額がイメージできます。

また、JCICのHPから、以下のExcelがダウンロードできます。このシートの黄色の部分に数字を入力するだけで、潜在損失額のシミュレーションができますのでぜひご利用ください。

参考：サイバーリスクの数値化モデル（年商100億円企業における社内報告資料例）
https://www.j-cic.com/reports.html#org_ovrvw1

重要なのは、きちんと対策をすれば、この金額は下がるということです。

社長・経営層にどう説明するか

（1）説得には経営者に響く言葉を用いる

一般的に、経営者の多くは、インシデントの検知・防御数とか、サイバーリスクの攻撃手法の詳細、個々のセキュリティ対策の詳細、サイバーセキュリティ単体のリスク分析には関心がありません。経営者を説得するには、これらを、財務インパクト、経営戦略との整合性、ブランド、顧客満足度、ベンチマーク、経営全般のリスク、コンプライアンス、ガバナンスといった、ビジネス視点に置き換える必要があります。

（2）数字を用いてロジックを組み立てる

JCICがサイバーセキュリティの必要性をお客様である経営者に説明する場合は、

① 会社の経営戦略を明確にする

② ①に対し、どのような課題があるのか

③ 解決法として何をすべきか

という3段論法で話していきます。

たとえば以下は、1000億円規模の製造業の事例です。こちらの会社では、情報盗難、ビジネス停止、法令違反の制裁金、事故対応費用などのリスクがあり、これを放置すると141億円の損害がある。しかし、しっかりと対策を行うことで97億円まで減らすことができるというロジックで説明しました。想定金額は、前述の「サイバーリスクの数値化モデル」から算定しています。

次のステップでは、損失額を減らすための施策やKPI（評価指標, Key Performance Indicators）を設定するよう伝えます。たとえば、個人情報を匿名化することや、サイバー演習の実施、PCの監視強化、インシデント対応のできる部員を一定数配置、といったKPIを設け、これらを達成するためにはどのような技術が必要か、いくらの投資が必要かという事を具体的に検討していきます。

（3）要所要所での報告も大事

さらに、プロジェクトが滞りなく進んでいるかを確認するために、次のような定期報告レポートを提出しています。

社長・経営層に説明する前にやるべきこと

（1）あらかじめストーリー立てをしておく

セキュリティ対策の担当者が、経営者にセキュリティの重要性を説明する際には、次の5つのステップを踏むことをおすすめします。

1）自社のビジョン・経営戦略を理解すること
2）経営戦略の課題を把握し、共通認識とすること
3）セキュリティ対策の目的と効果を明確化すること

ここでは、前述の数値化モデルを使って、セキュリティ事故による想定被害額を算出し、リスク対応の優先度を決めます。

4）経営リスクの中で、サイバーリスクの立ち位置を確認すること（これについては後述します）
5）目的を達成するためのKPIを定義する

（2）サイバーリスクの立ち位置を明確に

経営陣から必ず聞かれることの一つに、「地震や水害などの自然災害とサイバーリスクのどちらがインパクトがあるのか」があります。これが前述の「（4）サイバーリスクの立ち位置を確認する」ということなのですが、JCICでは、次のようなサイバーリスクマップを用います。

縦軸を影響度、横軸を発生確率とし、自社に関係するリスクを洗い出しマッピングします。この作業は、経営企画部門と情報システム部門とが一緒に議論することが重要です。

本来、会社としては、右上の影響度・発生確率とも高い「高リスク」に何かあるのは望ましくありません。もし、あった場合は何等かの対策をし、そのリスクを下げなければなりません。

（3）KPIを設定し確実に対策を行っていく

対策としては、KPIを設定し、目標設定やパフォーマンス評価を行うことで、リスクの軽減を図ります。以下はどのようなKPIが考えられるか、リスト化したものです。

参考：サイバーセキュリティのKPIモデル
https://www.j-cic.com/pdf/report/KPI-Report-JA.pdf

何をどこまでやるべきか

（1）目安となる数字を知る

KPIの設定によって、やるべきことは明確になりましたが、次によく経営者に聞かれる質問は「どこまでお金をかければいいのか」ということです。

これに対し、JCICでは、IT予算の５～６%程度と答えています。

根拠は、国内の情報セキュリティ市場が約1兆554億円、国内IT市場が約16兆5775億円、これを割り算すると約6%になります。

また、カーネギーメロン大学が年商60億円以上、4ヵ国の555組織を調査した結果によると、IT予算に対するセキュリティ予算は平均5.1%。また、人員については、IT部門社員数の割合に対するセキュリティ社員は、平均5.2%。つまり、IT予算が10億円規模の企業ならセキュリティ費用は5000万円程度、IT社員100人に対し、セキュリティ部門に5人は必要ということです。