仮にコンピューターウイルスに感染しても、業務に支障が出なければ問題ない──。こう語るのは、ラックの川口洋サイバー・グリッド研究所長。経営者をサッカーの監督に例え、限られたリソースの最適配分が重要だと説く。会社の存続のために、保護すべき情報の優先順位を決めるのも経営者の役割だという。
(聞き手は小笠原 啓)
ラック サイバー・グリッド研究所長兼チーフエバンジェリスト。2002年ラック入社。社内インフラシステムの維持、運用に従事。サーバーのセキュリティー検査業務なども行い、経験を積む。その後、セキュリティーアナリストとして、監視サービスに従事し、日々インシデントに対応した。2013年4月から内閣官房 内閣サイバーセキュリティーセンター(NISC)にて、行政機関のセキュリティーレベル対策支援、セキュリティーインシデントの対応、一般国民向け普及啓発活動を行った(2016年3月末まで)。現在はサイバー・グリッド研究所所長として、ラック社内における研究開発、サイバーセキュリティーに関する情報集約、情報発信を担当する。
昨年は日本年金機構から100万件以上の個人情報が漏洩し、今年6月にはJTBが約700万人分の情報が流出した可能性があると発表しました。サイバー攻撃がもたらす被害が年を追うごとに大規模化し、話題になる頻度も増えてきました。
川口:ようやく、世間の関心が追い付いてきたなと感じています。サイバー空間で悪事を働く輩は昔からいて、当社のようなセキュリティー企業は警告し続けてきましたが、専門家にしか伝わりませんでした。
潮目が変わるきっかけは年金機構の問題でした。メディアが注目するようになったことで、多くの人が脅威を身近に感じるようになりました。被害に遭った企業もその事実を隠し続けるのではなく、公表しようという意識が高まってきたと思います。
政府の意識も大きく変わりました。安倍晋三政権はサイバーセキュリティーを「国家安全保障」問題と捉え、民間に任せっきりにしておけないという意識を強めています。国会でもサイバー攻撃問題が盛んに取り上げられ、これまで無縁だったような議員が勉強するようになりました。
焦点となっているのが2020年の東京オリンピック・パラリンピックです。サイバー攻撃の格好の標的になることが予想されていますが、電力や交通などでは民間のシステムを活用せざるを得ない。官公庁だけでサイバーセキュリティーを考えていても限界があるのです。
こうした流れを受け、経済産業省は2015年末に「サイバーセキュリティ経営ガイドライン」を策定しました。企業の経営者が責任をもってサイバーセキュリティーに取り組むよう、政府が強いメッセージを発したと考えるべきでしょう。
