トレンドマイクロ株式会社が発表した調査によると、2020年3月までの1年間に約8割の国内法人組織が「何らかのセキュリティインシデントを経験した」と回答している。

うち約44％がセキュリティインシデントを原因としてシステム・サービス停止やその改善といった対応を取らざるを得ず、結果的に平均で約1億5,000万円の被害額が生じたという。

このようにサイバー攻撃が脅威となる昨今だが、一般的に日本企業はセキュリティ対策が不十分であると言われている。その原因の一つが、セキュリティ人材の不足だ。国際的情報セキュリティNPOの(ISC)²が2022年に発表した調査によると、資産を効率的に保護するために必要なサイバーセキュリティ人材が日本では約5万人以上不足しているという。

このような状況下で注目を集めているのが、国際規格の積極的な導入により、セキュリティのレベルや意識を向上させるという取り組みである。例えば、自動車業界においては新しい国際規格を設けることにより、製品のサイバーセキュリティを向上させるという動きが加速している。近年採用が広がっている「ISO/SAE 21434」という規格は、自動車製造のライフサイクル全般にわたるサイバーセキュリティ対策をまとめたものだ。

このような規格を取り入れる意義が大きくなっていることには、自動車の制御系の電子化が影響している。電子化によって自動車にもサイバー攻撃が脅威となり始め、対策が求められるようになったのだ。各メーカーは、一定水準以上の対策を取ることが求められるようになった。特に近年は自動運転という技術の発展が著しいため、サイバー攻撃は事故の原因に直結しかねない喫緊の課題だ。

これは自動車業界の製品という特殊なケースを取り上げたものだが、諸外国の先進的な取り組みを規格として取り入れることでセキュリティ水準を上げるという考え方は、他分野の国内企業でも有効な手段になり得るだろう。ことさら自動化やリモート化といった技術を取り入れようとする企業であれば、自動車業界が自動運転の普及を見据えたサイバー攻撃対策を実施していることは学ぶべき先例であると考えられる。

サイバーセキュリティ対策を向上させるに当たり、国内ではなじみのなかった対応をとる企業も増えている。その一つが、企業内にサイバー攻撃専門の部署を設けるという動きだ。例えば、とある国内大手IT企業グループでは専門委員会を創設し、グループ全体のセキュリティインシデントを包括的に対策している。この委員会は、グループ社員への日常的な情報セキュリティ教育や顧客の個人情報を取り扱う際のガバナンス体制改善など、単にサイバー攻撃が発生した際の処理を担当するだけにとどまらず、トラブル発生を見越して組織のレジリエンス強化に努めていることが特徴的だ。さらに、将来的にはヨーロッパにおける個人情報保護委員会のGDPR（General Data Protection Regulation）を準拠することを目標にBCR（Binding Corporate Rules）と呼ばれる世界水準のプライバシー保護基準をグループ内に導入するなど、国際規格の導入についても意欲的である。

また、国内大手電機メーカーではそのノウハウを生かし、提携事業者のセキュリティをコンサルティングするサービスや、セキュリティソリューションの導入をサポートするサービスを実施している。事業者の抱えるセキュリティ上の問題を精査し、今後起こり得るリスクや事業継続のために必要な要素を提案するなど、細やかで実用的な対策を設けられることが特徴だ。また、同社ではサイバー攻撃を念頭に置いた防衛訓練を実施するなど、人材育成サービスにも力を入れている。長期的なセキュリティ向上を目指すうえで必要不可欠な人材を育成できるという面でも、注目が集まるサービスだ。

サイバーセキュリティ対策は一朝一夕で完璧に構築できるものではない。長期的な視点を持つことや外部からの協力をうまく取り入れることが求められるだろう。