|
|
東京大学法学部、カリフォルニア大学バークレー校(政治学修士)卒業。1985年通商産業省入省後、産業技術環境局環境政策課長、製造産業局鉄鋼課長、産業技術環境局産業技術政策課長、通商政策局通商政策課長、貿易経済協力局貿易管理部長を歴任後、2013年現職に就任。
|
|
片岡: |
今月の右脳インタビューは経済産業省商務情報政策局審議官の石川正樹さんです。本日は「サイバー・セキュリティー経営」についてお伺いしたいと思います。それでは宜しくお願い申し上げます。
|
.石川: |
サイバー・セキュリティーを考えるとき、一つにはその重要性の高まりがあります。年金機構はサイバー攻撃によって、ベネッセは内部犯罪によって大量の情報が漏洩しました。更にこれからはマイナンバーもあり、企業経営におけるサイバー・セキュリティーにおけるリスクが急速に高くなっています。次にビジネスチャンスの側面があります。ビッグデータを活用した新しいビジネスが生まれる時代ですし、またIoT(Internet
of
Things)で、機械、そして企業が相互にリンクするようになっていますので、サイバー・セキュリティーがしっかりしていないとサプライ・チェーンに入れてもらえなくなっていきます。逆にいえば、セキュリティーがしっかりしていることが売りにもなるわけです。ですから、企業は、コストというよりも戦略投資とみなして、人や予算をこの分野に投入していくような判断をしていくことが不可欠です。今回「サイバー・セキュリティー経営の促進」を打ち出したのは、そうした背景があります。しかしながら現実は、日本の経営層のサイバー・セキュリティーに関する関心はかなり低いのが実情です。例えば「サイバー攻撃の予防は取締役レベルで議論すべきか」という問いに対して欧米では56%の企業が「非常にそう思う」と答えたのですが日本は13%とかなり低いレベルです(注1)。これまで日本は「現場セキュリティー」で、いい意味で物事を現場に任せてきました。「カイゼン」のようなものです。これ自体は悪い文化ではなく良い面もあります。しかし、「現場セキュリティー」は善意を前提としていて、悪意を持った攻撃、内部犯罪に対して、弱い組織構造でもあります。そういう意味でも「現場セキュリティーから社長セキュリティー」への転換が必要です。しかしながら、企業の方に聞くと、社内でサイバー・セキュリティーの話題を社長や重役レベルに上げるのは凄く大変だそうです。悪い情報だということもありますが、専門的だから任せるよという感じになってしまう。現場に任せていればなんとかなるだろうという意識がまだ相当あります。しかしサイバー・セキュリティーは、もはや経営者のリスク管理の重要事項になっていて、社長の進退問題にも発展しかねません。
|
片岡: |
8兆円程度といわれる情報セキュリティー市場に比して、サイバー犯罪の規模は一説には100兆円を超えるともいわれ、急速に進歩しています。
|
.石川: |
組織のシステムに侵入するやり方はどんどん出てきますし、人間そのものの弱みにも付け込むものも多くあります。だからリスク・ゼロにはなりません。これはサイバー・セキュリティー経営を考える大事なポイントの一つです。日本人はよく「絶対大丈夫?」と聞きます。でもサイバー・セキュリティーではそんなことはありえません。「絶対」といわれてしまうと、関係部署は大丈夫と言うしかなくなってしまいます。そうなると、現場から情報が上がってこなくなり、対応も遅れます。ですから「予防」だけでなく、起きることを前提として、起きたときに最小限に被害をとどめる「事後対応」の両方を考えることが必要です。日本人は、悪いことが起きるということをあまり言いたがりません。「絶対に漏れない対策はこうです」とは言えても、「漏れたらこうして、関係省庁にはこう連絡して、社長の謝罪会見は」等とは社長に面と向かっては言えない。更にサイバー・セキュリティーでは、現場に任せるといっても、実際の専門家は外部にいるということも多い。現場に任せると、現場は出入りのベンダーに丸投げする。ベンダーだって、何でもできるわけではないし、経営者も関心がなく内部にわかる人がいないとなればどうしても脆弱な体制となっていきます。例えばベネッセの場合は多段階の外部委託がシステム管理について行われていて、それが問題発生の原因の一つとなっていたという事実があります。
尤も米国企業でも、人材やお金をサイバー・セキュリティーの分野に投入するという決断はなかなかスムーズにいきません。売り上げに貢献するというわけでもないし、「無事これ名馬」で、何も問題が起きないことが良いことなのですが、何も起きないと何もしてないじゃないか、となってしまいがちです。ですから経営層の決断がないと、コストとしか見られず、コストとしか見られないと、去年に比べて削減できることが立派だとなってしまいます。
|
片岡: |
政策的にどう誘導していくのでしょうか?
|
.石川: |
これは容易ではなく、米欧も苦労しています。米国では、サイバー・セキュリティー対策を強制する法律を議会に提出したのですが、結局通りませんでした。プライバシー保護との関係でもセンシティブだという議論もあったようです。結局、こういうルールに則って、こういう体制をしっかりやってもらうことが大事だというようなことをガイドラインという形で提示したうえで、キチンとやっている人がマーケットから評価されるようにしていく、そして政府調達などで、そうしたところを優遇するといったやり方になっています。
|
片岡: |
米国の場合、一度、ガイドラインが示されれば、訴訟もあるし、株主からの圧力もありますので…。
|
.石川: |
ステークホルダーのパワーですよね。日本でもガイドラインがあれば、事故などが起きたときに、例えば記者会見で、「ガイドラインを守っていた」ということで企業努力を示すこともできるし、裁判や損害賠償においても、一定の影響が出てくるでしょう。そういう意味も含めて、我々もガイドラインを作るべく準備をしています。
|
片岡: |
内容を緩くさせて免罪符的に使う、そうしたレベルまで下げろというような圧力もあるのでは?
|
.石川: |
我々は当然一定水準以上のものを作る考えです。尤も既に日本の企業が米国の企業と提携するときのチェック事項にサイバー・セキュリティーが入っていて、慌てて専門家を呼んできて、というような事例も出てきているようです。IoTの時代は自分の会社だけ守っていても仕方ない。
また火災保険などと同じようにサイバー・セキュリティー保険も普及させていかないといけないので、経産省とIPA(独立行政法人情報処理推進機構)が設置した「サイバーセキュリティリスクと企業経営に関する研究会」には損害保険会社にも参加してもらっています。ベネッセ問題や年金機構の問題もありましたので、損保などにサイバー・セキュリティー保険について問い合わせが数多く寄せられているという報道もあります。
|
片岡: |
保険といっても、かなり限定的な内容になるのではないでしょうか。
|
.石川: |
そこは本当に難しいところで、リスクの計算は相当に難しいと思います。どれくらいの頻度で、どれくらいの事故が起こるのか。火事などでは、この建物ならば全部燃えてもいくらだとある程度限度が見えます。サイバー・セキュリティー保険はジャンルとしてはまだ新しく、こうした案件だとこの程度の被害額だろうといった予測が難しく、これから案件を蓄積していかないといけません。また火事や自動車事故は公表統計の蓄積があって全体像が把握しやすいのですが、サイバー・セキュリティーでは案件が起きても外にいわないケースも多く、実際に世の中に出てくるものの何倍あるかわからない。米国政府もサイバー・セキュリティー・フレームワークの中で保険会社にうまく参加してもらおうと色々と取り組んでいますが、まだなかなかうまくいっていないようです。勿論、米国のサイバー保険市場は急速に拡大しています。だからこそ、まずガイドラインを作って、ちゃんとやった会社はポジティブに評価されるようにしていきたいと考えています。
|
片岡: |
受注競争の中ではリスクを過小評価したり…。実際、欧米に比べ日本企業は入札時などに、保険額を小さく見積もって応札しているケースも多いと聞きます。また発注側であえてそこに目を瞑ることもあるとか…。ガイドラインでは保険や補償体制にも言及するのでしょうか。
|
石川: |
補償できる体制・体力が本当にあるのか、保険に入った方がいいのか、といったことを盛り込むかどうかは、企業の自主判断だと思いますが、まだ検討段階です。いずれにしてもサイバー・セキュリティーについて、「我々はしっかりやっていますよ」といっても、口だけではわかりません。そうした意味でも第三者評価による「見える化」が必要になってきます。これはISMS(Information
Security Management
System)認証といったものを強化して普及させていく。今でもそうした認証をとっていると保険等で一定の優遇があるということもあるようです。それ以外にも株式市場に対して、年次報告書、有証報告書等でサイバー・セキュリティーに関する取り組みを書き込んでいく。尤も、悩ましいところは「うちの会社は物凄く対策やっているぞ」というようなことを宣伝すると、「高い山に登りたい」というような人たちが出てきますので、目立たないのがいいというような面もあります。
|
片岡: |
人材育成については如何でしょうか?
|
石川: |
組織的に育成していくことが不可欠で、一つは大学でコンピューター・サイエンスやサイバー・セキュリティーの講座を作って、更に、そこを卒業した学生の就職先が見えているようにしないといけません。今年の成長戦略にもありますが、文科省は、職業に近い実践的な教育を行う大学を創り、2019年にはスタートする方向です。既に会津大学のようにサイバー・セキュリティーに力を入れる大学も出てくるなど、関心は高まっています。そういうところを何らかの形で支援したり、産業界にも協力を呼び掛けて人材育成を推進しないといけません。今でも、冠講座を出している企業も若干ありますが、そうした動きを国が音頭をとって大規模にやっていかないといけないでしょう。というのは、サイバー・セキュリティーの学部というとハッカー(クラッカー)養成などといわれて反対されることもあるし、大学に馴染まないと考える人もまだ多いからです。言霊というか、セキュリティーの専門家というのは、日本人には何となくぴんと来ない。だから国が音頭をとって、資格試験なども作って、就職後経営幹部になれるというような道筋も見えるようにしていかないといけません。そうした事をしていかないと、普通のITの学生もそうですが、サイバー・セキュリティー講座を作っても、本当に優秀な学生は全部、海外に持っていかれるというようなことが起きるでしょう。外資から見れば日本は安く調達できる人材市場と見える可能性があります。
|
片岡: |
IT、セキュリティーの部署の人間は決めて重要な情報や秘密に接するわけですが、それをどのよう担保するのでしょうか。或は、民間のIT会社、ITセキュリティー会社、そしてそれらの社員も…。
|
石川: |
そこは難しいところですね。いい意味でも悪い意味でも日本は信頼ベースでやっているところがあります。自分の会社のセキュリティーのコンサルを頼んだり、システムを入れるときには、やはり契約やルールを守ってくれたり、しっかりした情報が開示されているところを選ぶことが必要だと思います。企業だけでなく国の信頼性などが問題視されるケースもあるでしょう。先日、シンガポールにインターポールのアジア支局ができましたが、そこのシステムは日本企業が納入しました。日本は信用できる国として認識されていますので、そうした信頼感を売りにしていくことも考えていかないといけないと思います。
|
片岡: |
さて、そもそも日本企業の経営陣のITの活用への関心が極端に弱いそうですね。
|
石川: |
そこが最大の問題でもあります。ITに関心がないのに、サイバー・セキュリティーに関心が持てるわけがない。欧米の企業は、ITをしっかり活用しながらセキュリティーを強化して、どんどんビジネスを回しています。勿論、我々も色々手を打っていますが、まだまだ難しいところがあります。今後、情報処理促進の法律の改正も検討していきます。先日、東証と「攻めのIT経営銘柄」を選びました。この時の調査結果を分析するとROEの高い会社は、ITの活用が進んでいるということが明確に出ています(注2)。ROEが8%を超えている企業群とそうでない企業群では、例えば社長のITへの知見、株主へのIT活用の説明等について大きな差があります。またサイバー・セキュリティーへの取り組みについても同様です。数字で如実に表れていますので、社会にインパクトを与えるでしょうし、また社内のIT部門が予算や人員を獲得するときに社長に説明する材料にも使えます。セキュリティーも同じす。戸締り理論だけではだめで、セキュリティーでビジネスをしたり、セキュリティーをしないとマーケットから退出させられてしまう等と、多面的な説明をしていかないと社会全体の取り組みがポジティブになりません。こうして経営者がITそのものを経営戦略の重要な柱だとしていかないと動いていかない。活用とセキュリティーをどうバランスさせ、どう動かすかは経営判断です。人やお金を配置し、また外部のリソースも一定程度使っていかないといけない。しかし、外部のリソースを使うとなると、日本の場合、社内にITの専門家があまりおらず、全部、丸投げ委託となることも多い。これではだめで、社内でしっかり手間をかけるのはここ、外に頼むのはここなどと区別していかないといけません。外を使うことは重要ですが、外を使うにも、社内に目利きは必要ですし、経営判断も必要です。また外部を使う場合、今まで安ければいいという面も結構ありましたが、これからはそこに重要情報を渡していいのか、といった視点も重視されるでしょう。
|
片岡: |
IT“戦略”といいながら、実際にはコスト削減ばかりに目がいっているケースが多いですね。
|
石川: |
投資になっていない場合が多いと思います。経営者のマインドや戦略は、国が規制でできるものではありません。そういうことをやらない会社はマーケットから外されていくような仕組みが動いていかないと、経営者のマインドはなかなか変わりません。米国の場合は、競争が激しく、ITを使ったベンチャーがどんどん出てきて、次から次と古い会社が追い落とされる。そうなると「やはりITを活用しなくては」というような危機感を感じる。時価総額で世界のトップ3は、アップル、マイクロソフト、グーグルといずれもIT企業です。この3社の時価総額だけで180兆円を超えます(東証は全体で620兆円)。今、世界的な潮流ではROE8%、或は10%を超えないと経営者に強いプレッシャーがかかります。そのROEを上げる有力な一つのツールがITだということは間違いないのですから、企業価値を上げるのにITは不可欠です。欧米ではROEとITが近しい関係にあるということが常識で、IT投資と株価にかなり有意な相関があるというような分析も米国で発表されています。そこは訴えかけていくポイントになるし、株式市場のアナリストもそこを見ます。そういういい意味での経営者への圧力を作っていきつつ、ポジティブにセキュリティーに取り組んでもらい、セキュリティーでビジネスを作るんだというような意識になって欲しい。いずれにしても国の成長戦略の中でもサイバー・セキュリティーが重要な柱になっています。それはセキュリティーをしっかりさせつつ、ITを如何に活用するか、そしてITでビジネスモデルを如何に変えていくかがテーマです。政府レベルでも旗を振るし、経営者レベルでも重点的にやってもらえるようにしていくのが課題です。
さて、攻めのIT銘柄にも選ばれた東京海上やコマツでは、IT担当を経験しないと社長になれないといわれています。これからビックデータが最大の資源になるというのですから、こうした動きが本格化しないといけませんが、日本はまだそこまでの流れになっていません。ここ一年くらいのビックデータに関する動き、米国の動き等を見ていると、やはり本当の意味でITを使っている会社が伸びています。日本企業もそうした事をある程度理解し始めました。また2012、13年頃まではデフレの影響で債務処理等が課題でしたが、今はそこから脱却しつつあって、財務も良くなり、企業収益も株価も上がってきました。そうなると株主、機関投資家から「では、あなたの会社の成長プランは?」、「ITによる新しいビジネスモデルを作る戦略はどうなっているんだ」となってくるでしょう。
|
片岡: |
貴重なお話を有難うございました。
|
|
|
|
〜完〜
|
|