複雑化するサイバーセキュリティへの適切な危機対応とは

2024年2月21日に、第一線でサイバーセキュリティに関わってこられた専門家や、CISOの方々を招き、ウェビナーを開催しました。複雑化するサイバー攻撃への危機管理、生成AIなどの新興技術動向やサイバー関連法令のアップデートを踏まえたサイバーリスクの再評価やその対策等を巡るディスカッションの模様を一部ご紹介します。

要点

• サイバー攻撃への対策として、マルウエアへの直接の対策だけでなく、「キーレス」「パスワードレス」など、新たな視点からの対処法が重要となる。
• IT-BCPとサイバーBCPは異なる考え方を必要とし、事業継続計画はインシデントの性質に適合するよう柔軟に調整・適用することが望ましい。
• 新興技術の導入に伴うセキュリティリスクの理解と、そのリスクの可視化を通じた適切な事業委託の取り組みは、ビジネスサイドが中心となって積極的に参画する必要がある。

2024年2月21日に、 Digital Trust Webinar「複雑化するサイバーセキュリティ対応～危機管理と新興技術等への備え～」を開催しました。本ウェビナーでは、サイバー攻撃が多様化・複雑化している現代におけるサイバーインシデントへの危機対応について、第一線で活躍されている専門家や実務家を招いて2部構成で議論を行ったほか、各視点からの知見を共有いただきました。

第1部：サイバーインシデントにおいて危機管理対応および情報開示をどこまで行うべきか

第1部では、freee株式会社のCISOである茂岩祐樹氏、株式会社メルカリの執行役員 CISOである市原尚久氏、八雲法律事務所の山岡裕明弁護士の3名をパネリストに迎え、サイバーインシデント時における危機管理対応について、以下をテーマとしたディスカッションを行いました。

第1部　ディスカッションテーマ

本稿では第1部ディスカッションの中から、「対応への備え（BCP、技術等）」「脅威情報の共有」「人的課題への対応（育成、自動化等）」のテーマにおいて議論された内容につき、重要な点を抜粋してお届けします。

第1部の様子。左から、 杉山 一郎（EY新日本有限責任監査法人 プリンシパル）、市原 尚久 氏 （株式会社メルカリ 執行役員 CISO）、 茂岩 祐樹 氏（freee株式会社 CISO）、山岡 裕明 氏（八雲法律事務所 弁護士）

第2部：生成AI等新興技術に対してサイバーセキュリティ観点からどう対処すべきか

第2部では、TMI総合法律事務所の寺門峻佑弁護士、トレンドマイクロ株式会社の日本地域CISOの清水智氏、トヨタ自動車株式会社のデジタル変革推進室 主査の片山建氏を迎え、新興技術とサイバー関連法令対応について、以下のテーマでディスカッションを行いました。

第2部　ディスカッションテーマ

本稿では、第2部ディスカッションの中から「業務変革を踏まえた基本姿勢」「新興技術のガバナンス」「可視化や危機意識の共有」「継続的対応」のテーマにおいて議論された内容につき、重要な点を抜粋してお届けします。

第2部の様子。左から、杉山 一郎（EY新日本有限責任監査法人 プリンシパル）、片山 建 氏（トヨタ自動車株式会社 デジタル変革推進室 主査 ）、清水 智 氏（トレンドマイクロ株式会社 日本地域CISO）、寺門 峻佑 氏（TMI総合法律事務所 パートナー）

―新興技術に対する基本姿勢とガバナンス

まず、AIなどの新興技術をビジネスプロセスに導入する企業の望ましい基本姿勢を取り上げました。新興技術については、事業戦略への落とし込みとそれにひも付くリスクに関して、同時に検討することが重要です。また、これまでは単独で検討される傾向が強かったサイバーセキュリティを、事業戦略に即したリスク戦略の中に位置付けることがポイントになります。それにより企業の全社員からのセキュリティに関するルールの目的について理解や共感が得られ、結果的にルールを順守しない事例が減り、脆弱性の改善にもつながると言及がありました。

新興技術に係るガバナンスに関しては、新興技術を利用して行われるサービス・ビジネスのプロセスを把握することの重要性が論じられました。つまり、関係者（委託先含む）やその関与内容などを理解し、守るべきものが何かを特定した上で、優先順位を付けて対応することが肝要です。また、新興技術はブラックボックスであることが多いため、リスクを認識する際にはヒューマンインターフェイスの部分だけではなく、技術そのものの（アルゴリズム）を理解できる人が必要である点や、リスクマネジメントは過去の事故から学ぶことが一般的だが、新興技術は過去に事例がないものを想定しなければならない難しさがある点も示されました。

グローバル企業において海外子会社のデータを日本国内で管理した場合の、データの越境移転に関する留意点も取り上げました。欧州の一般データ保護規則（GDPR）をはじめ、各国で異なる規制の網羅的な把握や、データ越境移転を踏まえた契約締結時の配慮など、国際的な法務の知識が求められるため、優先順位を付けて専門家と協議していくことが重要だと言及がありました。

―リスクの可視化と新興技術における継続的な対応

続いて話題は、ソフトウェアサプライチェーンを踏まえた対策に移りました。ソフトウェアサプライチェーンにおけるセキュリティを考える際、重要なポイントとして「SBOM（Software Bill of Material：ソフトウェア部品表）などのリスクを可視化」「可視化により明示されたリスクを評価する仕組みの構築」などが挙げられます。リスク評価の仕組み構築は非常に難易度が高い取り組みとなるため、専門家を活用することも一案であるという声も上がりました。また、サプライチェーンに関与する委託先に明確な選定基準を設け、契約条項に落とし込んでおくことがある種の証拠になるため、セキュリティ上のリスクヘッジの観点でも重要な取り組みになります。

第2部の最後は、新興技術のビジネス適用を継続的に取り組む際の留意事項を取り扱いました。新興技術をビジネスに適用するには、企業内の部署間で相互理解を深めることが重要との意見がありました。リスク管理部門や法務部門はサービス内容や技術的視点を、技術者は法務的視点をそれぞれ持ち合わせることで、リスクの本質が見えやすくなります。また、経営者主導の下、セキュリティー・バイ・デザインなどに代表されるプロダクト開発の早期から法務やセキュリティの議論を進める取り組みなどの対策が有効です。このようなさまざまな取り組みに関する意見交換が行われました。

本ウェビナーをご視聴いただいた皆さまから、「各フィールドの専門家による具体的な事例が大変参考になった」「サイバーセキュリティのキーポイント、注意点、落とし穴などの情報を知ることができて有意義だった」など、たくさんのコメントをいただいています。

本稿では、議論で聞かれた意見を中心に概要のみを紹介していますので、サイバーセキュリティの「今」が分かる本ウェビナーのアーカイブをぜひご視聴ください。配信は2024年5月31日までとなっています。以下のページからお申し込みください。

お申し込みページ：Digital Trust Webinar <Cyber Security> 複雑化するサイバーセキュリティ対応 ～危機管理と新興技術等への備え～

今回のウェビナーが、サイバーセキュリティへの最新の見解や、具体的なサイバーインシデントへの対応策の知見を深める機会となれば幸いです。

登壇者との記念撮影。左から、安達 知可良（EY新日本有限責任監査法人 アソシエートパートナー）、加藤 信彦（EY新日本有限責任監査法人 パートナー）、片山氏、杉山、清水氏、寺門氏、茂岩氏、市原氏、山岡氏