本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。
ランサムウェアをはじめとしたサイバー攻撃など、企業の事業継続を妨害する悪影響が高まりを見せる中、重要インフラや防衛産業を中心に、事業の成否に影響を与え得るセキュリティに関する取り組みが政策レベルで強化されている。今回は、「セキュリティの不備」が政策レベルで企業に与える影響と、企業が強化すべきセキュリティ施策の今後について考えてみたい。
事業活動に影響を与える新たなセキュリティ政策
一度は攻撃インフラが解体されたはずだったマルウェア「Emotet」の活動が再燃し、ランサムウェア攻撃も沈静化の兆しが見えず、またロシア・ウクライナ情勢を中心とした地政学的リスクの影響が依然として残る中で、サイバーリスクが企業や組織の事業活動に与える影響は以前に増して大きいものとなっている。
企業はもちろん、社会全体のデジタル化に伴うサイバーリスクの深刻化を背景に、国家のサイバーセキュリティ政策による企業や組織へのビジネスインパクトが今後一層大きくなる兆しが2つある。
1つ目は、防衛調達に関連した動きだ。「防衛産業サイバーセキュリティ基準」の整備が、2022年4月に防衛装備庁から発表された。米国国防総省が調達関連企業に求めるのと同等レベルのセキュリティを日本の防衛省が調達関連企業に求めるというもので、2023年度の調達から運用が開始される。
2つ目は、重要インフラに関連した動きだ。政府サイバーセキュリティ戦略本部の「重要インフラのサイバーセキュリティに係る行動計画」(PDF)で、サイバーセキュリティ基本法に基づいて策定、2022年6月に公開されたものだ。経営層の内部統制システム構築義務に、適切なサイバーセキュリティを講じる義務が含まれ得る点や、損害発生時の経営層や監査役の賠償責任が明記されている点が大きい。