コーポレートガバナンス・コード対応が進まない要素とは
デロイトトーマツ サイバーセキュリティ先端研究所(DT-ARLCS)とデロイト トーマツ企業リスク研究所は1月18日、記者向け勉強会を開催した。2015年に施行されたコーポレートガバナンス・コードとサイバーセキュリティという2つのテーマで企業の対応状況の実際を解説した。
デロイトトーマツ企業リスク研究所の主席研究員である杉山雅彦氏
デロイトトーマツ企業リスク研究所の主席研究員である杉山雅彦氏は、「2年目を迎えるコーポレートガバナンス・コード対応における企業の取り組み状況」を解説した。コーポレートガバナンス・コードは、実効的なコーポレートガバナンス(企業統治)を実現するための原則をまとめた上場企業向けの指針で、2015年6月に金融庁と東京証券取引所により策定された。
杉山氏は、東京証券取引所が発表した対応状況を示し、9割以上実施している企業が2015年12月の78.0%から2016年7月には84.5%までに増加しており、浸透しつつあるとした。9割に満たない項目をみると、第4章「取締役会等の責務」に関するものが多いという。具体的には、2人以上の独立社外取締役に関する項目が対応できていなかった。
また、同社が2016年3月に発表した取締役会実態調査アンケートでは、取締役会が入手すべき情報として不足しているものに「最高経営責任者等の後継者の計画(プランニング)の進捗状況」「決定した重要な業務執行の推移(設備投資・M&Aなど)」が挙げられており、独立社外取締役に必要な経験・知見として重視する項目に「コンプライアンス・法務に関する知見」「リスクマネジメントに関する知見」があることに注目した。
さらに杉山氏は、企業におけるサイバーセキュリティの重要性に言及、最近では"デジタル・ディスラプション"が米国を中心に意識が高まっているとした。これは「デジタルテクノロジによる破壊的創造・破壊的イノベーション」と訳されるもので、企業のITリテラシーの低さがサイバーセキュリティを脅かすとし、特に若い世代への教育が重要であるとした。
経営者が知っておくべきサイバーセキュリティトレンドと対策
デロイトトーマツ サイバーセキュリティ先端研究所 所長 丸山満彦氏
DT-ARLCSの所長である丸山満彦氏は、「経営者が知っておくべきサイバーセキュリティトレンド2017」を解説した。丸山氏はセキュリティを取り巻くキーワードとして、特にわかりづらいクラウドサービスのセキュリティレベルなどの「ガバナンス強化」、米政府がランク付けを行いはじめた「総合対策」、セキュリティ対策に軍隊の考え方を取り入れた「軍事的メソドロジ」、クラウドをいかに選ぶかという「クラウドファースト」の5つを挙げた。
また、2017年のポイントを5つ挙げた。1つ目は「監視の強化」で、これまでネットワークの境界だけで侵入防御システム(IDS)/侵入検知システム(IPS)による対策から、端末やアプリケーションを含めた監視が必要となる。具体的には、サーバやネットワーク機器などで出力されるログをセキュリティイベント情報管理(SIEM)システムで分析するセキュリティ監視センター(SoC)のサービスが増えるとした。
2つ目のポイントは「インテリジェンスの活用」で、これまでも攻撃者や攻撃手法などの情報を収集し、セキュリティ対策に活用するケースはあるが、米国では企業や取締役、家族まで含む評価情報をSNSだけでなくダークウェブから収集し分析、活用するサービスが増えてきており、従来は対象とされていなかった情報もインテリジェンスに活用するケースが日本でも出てくるとした。
3つ目のポイントは「攻撃者の視点に立った防御モデルの構築」で、これは企業を構成する「フィジカル」「ヒューマン」「サイバー」の3要素を考慮して企業の弱い部分を洗い出す必要があるというもの。たとえば、物理的な入退室管理システムに抜け道がないか、パスワードやファイルの保存場所が推測できないかなどを調べるもので、2017年はフィジカルも含めて擬似的に侵入して、情報セキュリティ体制をテストする“レッドチーム”の需要が増えるとした。
4つ目のポイントは「ITからIoTまで」で、これまでは情報システム(IT)と制御システム(OT)はそれぞれ独立していたが、今後はIoTの普及によりOTもインターネット接続される。そのためIoTを含めた総合的なセキュリティ対策が必要となる。現在、現実的な対策の主流は「インターネット分離」であり、ITとOTを効率的に分離することが重要になるとした。
産業用制御システムは容易に対策ができない
5つ目のポイントは「ベンダーセレクション」で、これは利用が広がるクラウドサービスにおいて、安全性を総合的に判断し安全な事業者を選ぶことが重要になるというもの。特にクラウドサービスを提供するベンダーのセキュリティ対策を調べてランク分けを行い、利用する内容や対象によって使い分けをするケースも増えていくとした。