サイバーセキュリティ意識が高い企業・低い企業の違い　「ゼロリスクはあり得ない」時代に求められるCEOの役割

ユーザー企業側から見る、事件以外のセキュリティ報道

寺岡篤志氏：日本経済新聞社の記者の寺岡と申します。本日は、「相次ぐ法規制、変革に乗り遅れる企業がはまる落とし穴　セキュリティ記者が語るサイバーガバナンス」というタイトルでお話しします。よろしくお願いいたします。

まず、ちょっと簡単に自己紹介をいたします。かれこれ10年ぐらい前に、警視庁で事件記者をした時にセキュリティの取材を始めまして、ここ3〜4年ぐらいはセキュリティに特化して取材をしています。



後でちょっと触れたいと思うんですけども、2024年はイギリス政府が主催しているサイバーセキュリティのフェローシップにも参加させていただいたりしています。取材テーマは、サイバーセキュリティの中でも、安全保障、犯罪、政策、コーポレート。自らOSINT（オシント：公開情報を収集・分析してインテリジェンスとして活用する手法）で調査報道をしたりと、かなり幅広くやっております。

こちらは直近に手掛けた記事の例で、資料も後で公開されるようなので、もしよろしければ、ご覧いただけるとうれしいです。



私がこういったご講演のお声掛けをいただく時に多いのは、やはりコーポレートのセキュリティについてのお話です。日本の記者の方々は、やはりメインは個別の事件を追っていることが多いんですけども。

コーポレートで、ユーザー企業側に注力して報道をしているのは、たぶんほとんどいなくて、知っている限り私1人しかいないんですが（笑）。今日もそういった視点でのお話をさせていただければと思います。こちらに掲載している記事も、ユーザー企業側にお話を聞いて取材することを重視しています。

本来のサイバーセキュリティへの投資は好循環を生み出す

やはり自分の会社のセキュリティのことはなかなか話したがらない企業さんがまだまだ多いんですね。ただ、事前にサイバーセキュリティにちゃんと投資することは、当然会社のレピュテーションを上げますし、それが人材や契約の獲得につながって、さらに新規投資になるという、良い循環があるかなと思っています。



日経のいわゆる企業記事は、やはりこういう循環がちゃんと回っているものと理解しています。それゆえに、経済紙として企業といい意味での緊張関係や信頼関係を築けているのかなと思うんですけれども。ただ、セキュリティはやはり事件に特化しすぎているために、こういった良いサイクルがあまり回っていないと思っています。

そういった問題意識をもとに、平素からユーザー企業のセキュリティ体制を取材して、ほかの方たちにも共有して、お手本や他山の石としていただくことを志向して取材をしています。本日はこういったユーザー企業への取材の中で、特に今注力しているテーマを取り上げてお話をさせていただければと思います。

欧州で進むサイバーセキュリティ規制や義務化の流れ

それがこちらですね。EUを中心に、サイバーセキュリティの義務化の流れが非常に固まってきていると思います。これを聞いていただいている企業のみなさんの中でも、欧州にフットプリントがある企業さまは、かなり準備を怠らないように今いろいろと動いていらっしゃるかなと思うので、そういったお話ができればと思います。

特に製造業のところに、非常に強くrestrictionがかかっています。英国で、この4月からIoT向けに広汎に対策を義務化する、PSTI（英国で販売されるIoT製品を含むインターネット接続機器に対して、セキュリティ要件を遵守することを義務付ける）という法律が始まりました。



それをさらに強化したものが、欧州のRED（無線機器指令：EU市場に流通する無線機器の安全性と相互運用性を確保するための法的枠組み）というものです。

そして、今度は製品だけじゃなくて組織に拡大したものとして、Cyber Resilience Act、通称CRA（欧州サイバーレジリエンス法）が議会を通過し、間もなく始まっていく状況です。

それからインフラ向けに、EUのNIS2（Network and Information Security Directive：ネットワークと情報セキュリティに係る指示）がこの10月から、各国法に置き換わるかたちで始まっていきます。

これはインフラと言いつつ、いろいろな製造業が入ってきそうで、実質的にはOT（オペレーショナルテクノロジー）全部が対象というようなイメージですかね。ただ、まだ細かい対象は決まっていないので難しいところなんですけども。それとは別に、真ん中に書いてあるように業界別の規制も、かなりいろいろなところで始まっているかなと思います。

欧州サイバーレジリエンス法の3つの主なポイント

赤字にしておいた規制について、ちょっと詳しく見ていきたいと思います。コンサルさんがいろいろな資料を出されているので、詳しくはそちらを見ていただければと思うんですけど、概要だけピックアップしました。



CRAは、先ほど申し上げたようにデジタル製品向けの規制なんですけれども、主なポイントとしては3つぐらいあります。まずはライフサイクル全体でセキュリティを確保していこうというもの。

組織として、いわゆるセキュリティバイデザイン、デザイン段階からセキュリティという機能をちゃんと組み込んでおきましょう、後付けでやるもんじゃないですよと。

そのために、いわゆるSBOM（Software Bill of Materials）、日本語ではソフトウェア部品表などと訳されますけれども。「あなたたちが持っているソフトウェアが、どんなコンポーネントからなっているかという部品表をちゃんと整備しておくことで、脆弱性が見つかった時に素早く対応できるようにしましょう」というものですね。これをちゃんとやりましょうと。

それから、何かインシデントが起きた時に、24時間という非常に短いタイムスパンでまず第一報をしなさいと。そのためには、やはりPSIRT（Product Security Incident Response Team：自社で製造・開発する製品やサービスを対象に、セキュリティレベルの向上やインシデント発生時の対応を行う組織）ですね。

CSIRTと言われる、いわゆるカンパニー側のインシデント対応をするチームだけじゃなくて、プロダクトのセキュリティもちゃんと見る運用体制も作っておかないと、24時間以内に海外に通知しなくちゃいけないので、なかなか厳しいのではないかなと思います。

違反するとリコールや販売停止、高額な罰金も

先ほどのライフサイクル全体という部分とちょっと被るんですけれども、市場に出した後に、最低5年間はセキュリティのアップデートをちゃんと義務付けるというものも加わっています。

これはタイムラインが非常にぶれていまして、いつ頃ちゃんと始まるのかというのが、いまだにはっきりしないところがあります。なにより整合規格がまだ決まっていないので、どう対応していくのかが非常に難しいものになっています。

ただ、違反者に対するサンクションがものすごく厳しくて、リコールや販売停止、あるいは最大罰金は1,500万ユーロか世界売上高の2.5パーセントの高いほうということになっていまして、非常に影響の大きい法律かなと思っています。

何がそんなにヤバいのかをざっくりまとめますと、おそらく私の認識している限りで、これだけ広汎な業種で、もう製造業はほぼほぼ入ってくると言っていいので、会社全体での組織的な対応が必要になってくると。

セキュリティチームが製品に対してちゃんとセキュリティを担保するだけではまったく足りず、しかもそれが義務化されるということは、たぶんCRAがほぼほぼ初めてなんじゃないかなと思います。

日本の製造業が大きな影響を受ける可能性を指摘

何をやらなくちゃいけないのか？　開発設計、製造、アフターサービス、そことセキュリティチームの連携、海外拠点との連携、そしてサプライヤーとの連携。あとは、やはりガバナンスが効いていないと、そもそも連携自体が取れないので、意思疎通がしっかり取れていなければいけない。



どういうことかと言いますと、私の認識では、やはりコーポレートのセキュリティにおいて、今まで連携がうまくいっていなかった典型例がたくさんあると思います。開発設計とセキュリティでコンフリクトを起こすことがよくあるかと思いますし。

日本企業の場合、やはり（海外でのことは）海外拠点に任せてしまうこともけっこう多かったと思います。日本企業の製造業の数は非常に多いので、サプライヤーとの連携も非常に難しいですね。こういった、今まで連携が難しかった課題をちゃんとやらないといけなくなってきているということかなと思います。

個人情報保護のためにできたGDPR（EU一般データ保護規則）が、8年ぐらい前から非常に話題になっていたと思うんですけども、やはり欧州法に詳しい弁護士さんは、「実質的な日本企業への影響の大きさはGDPRを超える」という方が多くいらっしゃいます。

というのも、日本企業は製造業がメインの経済界なので、個人情報で商売をしている企業よりもそちらのほうが多いこともありますし、組織的な対応という意味で非常に難しい法律かなと思います。

先ほどREDにも少し触れましたが、CRAの一部の特に製品部分に関する部分を先行してやっていくものになります。これは2025年8月から始まります。ただしこちらも整合規格が決まっていなくて、まだちょっと迷いながら対応されていらっしゃるところが多いのかなと思います。

EUの「AI規制法」と「EUデータ法」も施行に向けて併走

それから、EUのAI Act（AI規制法）、Data Act（EUデータ法）が同時並行で施行に向けて準備が進んでいます。これが一部、AIにおけるセキュリティやデータにおけるセキュリティという意味で、ちょっとCRAと被る部分があるんですね。そこがまたややこしくなっています。



特にData Actに関していうと、Data Access by Designというものが要求されています。先ほどのSecurity by Designと似ているんですけども、これはデータを取るご本人に対してしっかりとデータのアクセスを確保しましょう。それをデザイン段階からちゃんと検討してくださいねというものです。

当然アクセス権がある、ルートができるということは、セキュリティからすると、やはりちょっとコンフリクトを起こす部分です。ここをしっかり両方やっていかなくちゃいけないという意味では、またさらに難易度が上がるのかなと思っています。

それから、NIS2は先ほども言ったように、インフラ向けと言いつついろいろな製造業が入ってくるとされています。ただ、これも業種全体で網をかけるのか個別指定されるのかもちょっとわからないところがあるので、ウォッチしている企業さんがけっこう多いんじゃないかなと思います。

特に具体的なところはまだあまり決まっていないんですけども、やはりインシデントから24時間以内の早期通知は、CRAと同じです。これもやはりEUの拠点と迅速なインシデントレスポンスの体制、連携の整備が必要ということかなと思っております。

市場原理主義的な米国も、セキュリティ戦略を重視する流れへ

欧州が一番先頭を走っているんですけども、欧州だけではなくなってきています。本来セキュリティに関して市場原理主義で動いていた米国も、ちゃんとやらないとレピュテーションが落ちるし、商売もできなくなるから市場圧力としてやっていきましょうと。あるいは政府調達の要件とすることで促すことで、ちょっと変わってきているという認識です。

これは、Cyber Threat Allianceという米国のセキュリティ企業のアライアンスのCEOの方が、2023年の年末に、米国の国家セキュリティ戦略について解説されていました。「特に重要なインフラにおいては、最低限の要件を義務として課さなければ、もう追いつかない」と。

それから、「セキュリティを義務化する上で政府が介入して負荷を再分配していく、それが米国という国家の戦略なんだ」というふうにおっしゃっていました。実際のところ、みなさんももうご存じのとおり、SEC（米国証券取引委員会）規則が始まりました。これは、上場企業はインシデントを4日以内にちゃんと報告をしなきゃいけない。



それから、義務ではないんですけども、サイバートラストマーク（IoT製品の安全性に関する米国の認証制度）というIoTの規格を作りました。サイバートラストマークは、かなり製品に寄ったものなので、CRAとはだいぶ違うんですけども。

今後、さらにそれを（CRAと）ハーモナイゼーションしていく方針はあるようです。実際にどうやっていくのかは、ちょっと私も首をかしげるところではあるんですが。

それから、CIRCIA（重要インフラ向けサイバーインシデント報告法）という、インフラのインシデント報告義務が課されました。それから、これはもう米国の特徴的な部分として、被害企業のCISO（最高情報セキュリティ責任者）の逮捕や告発が、例えばUberやSolarWindsでありました。

直接的な規制じゃないんですけども、米国も法的な強制力をもって促し始めているということですね。

日本も追随する流れはあるものの、先行きは不透明

では、日本はどうか？　あえて「ゆるく」と書かせていただきましたが、追随する流れはありそうなものの実際どうやるのか、ちょっと私もまだわからない状況です。



まず、サイバー被害の報告義務ですね。インフラ向けにやるというのは、うち（日経新聞）も含めて、8月に相次いでメディアが報告しています。

ご存じのとおり、今も内閣サイバーセキュリティセンターのCEPTOAR（セプター：重要インフラ事業者等の情報共有・分析機能及び当該機能を担う組織）があるわけですけれども。事件があったら報告してくださいねという、あくまでボランタリーの組織なんですが、どうもあまり機能していないということは非常によく聞きます。

なので、報告を上げるためのインセンティブをどうするのか。セキュリティクリアランスを利用して、逆に政府側から情報を出すことも必要じゃないかという議論もいろいろされているようですけども、まだ固まっているところはないという理解です。

それから、経済産業省が企業のセキュリティ体制の格付けを始めるという方針を出しております。ただ、これも日本はEUみたいな認証機関がないんですね。なので、どうやっていくのかというところもまだわからなくて、一般的な監査の会社を入れるんじゃないかという話もあります。手を挙げている企業さんもけっこうあるみたいなんですが、まだよくわからないと。

こちらも米国のトラストマークと同様、CRAとの共通認証を狙っているようなんですけども、取材時の感触としては、はたしてできるのかどうかがまだよくわからないかなと思っているところです。

対応ができている日本企業は2割程度

やはりまずEUがトップを走っている中で、どういうふうに適応できているのかということを、製造業向けの規格や法律に限定して、取り急ぎアンケート調査をしました。

その結果がこれですね。PSTI法が始まる直前だったんですけれども、対応ができているところは2割程度です。欧州のCRAに関してもやはり2割程度。これも整合規格がない中なので、とりあえず法律で書かれているところになんとか（対応）できているかなという企業さんが2割程度なのかなと思っています。

ただ、認証適合は発行から3年後なので、まだまだ時間があると思っていらっしゃる方がけっこう多いのかもしれないんですけども、実際にはそんなことはないと私も認識しています。

なぜかというと、認証に適合しないと市場に出せない。そして、その製品はセキュリティバイデザインが具備されていなければいけない。そのためのドキュメントもちゃんと揃えてなきゃいけないので、開発ライフサイクルが3年以上かかるところは、もう始めていないと間に合わない可能性があるわけですね。

そういう意味で急がなければいけない。でも整合規格がないので、まだちょっと踏み出せないという、かなり難しい状況にはあるんですけども。やはり何かしら始めていかなくちゃいけない状況にはあるという理解でおります。

SBOMに対する期待と現状のギャップ

その中で、アンケートのちょっと詳しいところを見ていきたいと思います。やはりSBOMの管理がかなり大きな課題の1つになる中で、SBOMに対する期待と現状を聞きました。

この中で、特にギャップが大きかったのがここなんですね。脆弱性情報に対するリスクなどの判定や脅威分析が効率的に行えることに期待しているところと、実感しているメリットで、68社のずれがありました。「RM/VM」は、「Risk Management/Vulnerability Management」の略で書いています。



この開きがあった68社は、そんなに数が多いわけではないので、これをもってして確定的な傾向と言えるわけではないんですが、少し気になったのが、製品企画や製造部門における人たちの割合が比較的多かったことです。情報システムやCSIRTで「期待外れだった」と言う人たちは比較的低いわけですね。

これがやはり企業や製造部門とセキュリティ部門で、SBOMでできること、あるいは自分たちの能力の中でSBOMはここまでできるというところにギャップがあるのではないかなと、ちょっと懸念として抱いております。

経営者や役員の期待と現場のリソースの乖離の懸念

そしてもう1つ。SBOMを脆弱性管理に活用している場合、更新における頻度の即時性はどの程度求めますか、というところですね。

アメリカが発行している脆弱性のナンバー（CVE-ID）が、だいたい年間3万件弱になっている中で、やはり脆弱性情報の更新は非常に難しくなってきています。その中で、リアルタイムで毎日やってほしいという声もやはりそれなりにあったわけですね。

これはもう体制次第で、どこまでリスクを受容するかというところなんですけども、もうほぼ即時というようなところが93人であったと。



この93人の回答属性を調べたところ、ちょっと気になったのは経営者クラスの人ですね。そもそも経営者や役員が回答者として少なかったので、これも傾向と言えるほどのものではないんですが、回答していただいた人は全員、「毎日ないし即時」と答えていると。役員クラスの人も6割超えのほぼ3分の2の人がそう答えている。

繰り返しますが、回答者数が少ないので、これで確定的な傾向と言えるわけではないんですが、これだけを見るとちょっと懸念として、経営陣のリスク受容度と、それが本当にできるのかどうかという現場のリソースに乖離がある可能性もちょっと懸念しています。

もちろん、リソースを注ぎ込めば、経営陣の理想にもだんだん沿っていけるのかもしれないんですけども、「これぐらいやって当然だろ？」となっていると、やはりどうしてもうまくいかないのかなと思っています。

サプライチェーンとの連携も厳しい状況

次はサプライチェーンですね。SBOMの要求時の対応として、「サプライヤー側に毎回ちゃんと提出しましたよ」と言っている人がやはり5割ぐらいしかいなかったということですね。

発注側の「要求したけど得られなかったことがある」という方も、4分の3の75パーセントぐらいいらっしゃって、けっこう厳しい数字だなという認識です。

どういったところに抵抗感を感じているかというと、やはり技術情報の流出なんですね。合計で72パーセントの方が「IP（知的財産）流出に懸念がある」とご回答されています。



最初の方に見せたスライドをもう一度振り返っていただきたいんですけども。やはり今までのセキュリティでも、うまくいっていなかった連携がまだまだ残っている可能性が、このアンケートの中からも見て取れるかなと感じています。



そういった課題を、CRAは「しっかりやりなさい」と突きつけているわけですね。先ほども言ったとおり、整合規格がない中で、まず法律からしっかりやっていこうという企業さんが何をやっているかをヒアリングした結果ですね。



まず1番は、馬鹿馬鹿しいかもしれないんですけど、これが本当にけっこう難しくて。特にNIS2は、本当にみなさん警戒しています。まず本当に自分がこの対象なのかどうかという確認をかなり厳密にやらなくちゃいけない。

それから、ギャップ分析ですね。非常に広汎な規制なので、自分たちが今やれていることとどれぐらいギャップがあるのかというところにかなり時間をかけていらっしゃいます。それも、法律と整合規格ができた時にもう1回やらなくちゃいけないと。

セキュリティは「チームスポーツ」を実現すべき

それから、先ほど言ったとおり、いろいろな部署にセキュリティがわかっている人がいないと機能しなくなってくるので、広汎な人材育成や獲得に動いている。セキュリティバイデザインの意識浸透。「やります」と言ってすぐできるわけではないので、啓発をちゃんとしたり、どういうふうに意思決定をして組み込んでいくのか。

あと、PSIRTも作るだけではなくて、習熟にはある程度の期間がかかるかなと思います。それからSBOM管理のためのツール導入、サプライチェーン管理の見直し。

特に今まで何次サプライヤーまでソフトウェアのコンポーネントを提出してもらったのか。大企業でもけっこう製品によって違うところはあるかなと思っていまして、そこの見直しも始まっています。

それから、海外との意思決定のためのプロシージャ（手順）の組み直しなどをやっていらっしゃるようです。

一言で言えば、前からセキュリティはチームスポーツと言われていたと思うんですけども、本当にいよいよやらないといけないなと。セキュリティチームだけに任せるものではまったくなくなったということかと思っています。

これは、それを象徴する1つのグラフです。英国に研修に行った時に、けっこう大きなインフラの企業のCISOの方がおっしゃっていたんですが、「今の私の仕事は、セキュリティは2パーセントしかない」と。



ここのセキュリティはたぶん技術的なことを言っていると思うんですけども、ほとんどはステークホルダーマネジメントやヒューマンリソースマネジメント、ミーティングや調整に7割を使っているという状況です。

右側は「Dark Reading」というネットのメディアの記事なんですが、ここでもCISOの役割は大きく変わってきているという話をしていました。「wear many more hats」と書いてあるんですけども、つまりいろいろな役割をやらなくちゃいけない。

ボードメンバーとも社員ともコミュニケーションしなくちゃいけない、顧客ともしなくちゃいけないということですね。いろいろな調整役として、非常に高度な技術を求められるようになってきたということかなと思います。

セキュリティ意識が高い企業と低い企業の違い

私も最近取材をしている中で、やはり「ここは、チームスポーツになってなさそうだな」と思うことがあるんですね（笑）。ここで挙げている事例はすべて、中学生以上だったら知らない人はいないぐらい日本の超超超大手企業ばかりです。

「CEOは関係ない」「どんな案件でも、セキュリティの取材はすべてCISOが受けるんだ」という企業や、「セキュリティは顧客満足度と関連性がない」といったところもありました。そんなわけはないだろうと思ったんですけども。

セキュリティ（に関する取材を）断るための口実なのかもしれないんですが、セキュリティがちゃんとした業務戦略になっているのであれば、断り方にもしてももうちょっとあるだろうと思うので、こういった話を聞いた時にちょっと危ないかなと思いました。



一方で、「ここはチームスポーツになっていそうだな」となんとなく感じた話では、やはりレピュテーションを上げる狙いとして、セキュリティをプラスの投資として捉えているような企業さんとかですね。

あとは、過去にインシデントがあった企業の中で、セキュリティと関係のないトップマネジメントがその恐ろしさや、「なんでセキュリティが必要なのか？」というのをちゃんと定期的に発信してくれるところがありました。

やはり業務をする上で、セキュリティって業務効率を落とす結果になる時もありますので、どうしても嫌がる人が絶対いると思うんですね。

でも、「トップマネジメントが言うことによって、自分の仕事に必ず必要なことなんだ。あるいは、もしかしたら自分の人事評価にも関わるかもしれないといった意識を持ってくれるので非常にありがたい」と、セキュリティチームの方が言っていました。ここはやはり、セキュリティチームとボードメンバーで意思疎通ができているんだなと感じたところです。

あとは、セキュリティチャンピオンというのは、OWASP（オワスプ：Webアプリケーションを取り巻く課題の解決を目指すオープンなコミュニティ）が提唱しているものです。

先ほど言ったように、各部署にセキュリティに詳しい人を置いたり、自分の部署の仕事にプラスしてセキュリティの知識を学んでもらって、その人をチャンネルにしてセキュリティ意識の浸透を図るというものですね。

CEOの仕事の本質とは「リスク管理」

我々はあくまで技術紙ではなくて、マネジメント向けの記事なので、ガバナンスを持っている人たちに向けて「こういうことをちゃんとやっていこうよ」というメッセージも出しているので、最後にCEO向けの記事を出しました。

実は左側は、セキュリティとまったく関係のない、東日本大震災の時の記事ですね。私は別に経営の専門家ではないんですけれども、経営共創基盤の冨山和彦さんという、経営の業界では超有名な方がおっしゃっていた言葉がすごく印象に残っています。



それをセキュリティを取材する時にも常に頭に置いているのですが、「情報が十分に備わっている中での判断ならAIにやらせればいいじゃないか」と。「情報が不足しているから最適かはわからないけど、自分で判断して結果の責任を負うのがCEOの仕事の本質である」というふうにおっしゃっていました。

つまりリスク管理。確定的なことがわからない中で、リスクを管理していくのがCEOの仕事の本質だと私は理解していまして、それはセキュリティにもそのまま反映されると思います。

ゼロリスクはあり得ない

右側は、2023年に私が書いたGartnerの方のインタビューなんですけども、残念ながら社内的なウケはあんまり良くなくて（笑）。あまりいい位置には置いていただけなかったので、読んでいた方が実はけっこう少なくて、こういった講演のたびにちょっと転載させていただいているんですけども。

この方がおっしゃっていたのは、「ゼロリスクはあり得ない」と。当たり前なんですけども、「その中で、リスクの受容度を決めるのがCEOである。仮に事件が起きたとしても、CEO自身がこのリスク受容度の判断が間違っていたということで、判断の背景もちゃんと説明できて、今後は変えていく」と。

例えば脆弱性の判断で言えば、週1回でいいと言っていたのを、2〜3日とか毎日に上げていくと。そのためのリソースを投資していきますよと説明できるかどうか。それがインシデントがあった時に、ちゃんとレピュテーションを落とさずにマネジメントできるかどうかの分かれ目になるということをおっしゃっています。

以上です、ありがとうございました。こんな感じでユーザー企業側の視点の取材をしておりますので、もしご興味がある方はぜひご連絡をいただければと思います（笑）。

私の「LinkedIn」なども載せておりますので、もしよろしければご連絡いただければと思います。どうも本日はありがとうございました。