メインメニューをとばして、このページの本文エリアへ

経営とサイバーリスク、サイバーセキュリティ

北條 孝佳

北條 孝佳(ほうじょう・たかよし)
 2000年、電気通信大学大学院電気通信学研究科修了(ME)。2000~2014年、警察庁勤務。2015年、弁護士登録(東京弁護士会、68期)。2023年1月、西村あさひ法律事務所パートナー。

1 はじめに

 近年、ランサムウェア攻撃が猛威を振るっており、小規模から大規模に至るまで世界中の数多くの企業がランサムウェア被害に遭い、日本の企業も例外ではない。ここで、ランサムウェアとは、マルウェアいわゆるコンピュータウイルスの一種であり、これに感染させた端末等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価(暗号資産)を要求したり、データを窃取した上で、企業等に対し「対価を支払わなければ当該データを公開する」などと要求したりする不正プログラムをいう。警察庁が2023年2月に公表した統計資料によれば、2022年中に警察庁に報告されたランサムウェアによる被害件数は230件であり、2021年の146件を大きく上回っている。このようなランサムウェア攻撃を含むサイバー攻撃の被害に遭わないようにするため、また、仮に被害に遭ったとしてもその被害を最小化するために、経営者らには重大な経営問題としてサイバーセキュリティを確保することが要求されるようになってきている。

2 サイバーセキュリティとは?

 「サイバーセキュリティ」という単語は最近色々なところで耳にするようになった。「サイバー」+「セキュリティ」と聞くと、サイバー空間の安全を確保することや、サイバー攻撃から保護することを想像する読者もいるだろう。確かに、米国国立標準技術研究所(NIST:National Institute of Standards and Technology)が2018年4月に公開した「Framework for Improving Critical Infrastructure Cybersecurity Version 1.1」(以下「CSF」という。)では、サイバーセキュリティとは、「攻撃を防止、検知し、攻撃に対応することにより情報を保護するプロセス」と定義されており、サイバー攻撃への対応を意識している。
 他方、我が国において、サイバーセキュリティ基本法(平成26年法律第104号、令和3年法律第36号改正、令和4年第68号改正。以下「基本法」という。)第2条では以下のように定義されている。

 この法律において「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていることをいう。

 非常に多くのことを定義に含めているため分かりにくいかもしれないが、基本法においては、保護すべき対象として、①情報、②情報システム及び③情報通信ネットワークが含まれている。①情報はいわゆる電子データを意味し、この漏えい、滅失又は毀損の防止や安全管理のために必要な措置を講じることが求められている。また、②情報システム及び③情報通信ネットワークに対しては、安全性のみならず信頼性の確保のために必要な措置を講じることが求められている。そして、①、②及び③のいずれに対しても、このような措置が講じられた状態が適切に維持管理されていることまで求められている。
 このように、基本法では、サイバーセキュリティの定義における保護すべき対象として、情報や電子データだけではなく、情報システムや情報通信ネットワークも含められて規定されていることになり、前述のCSFの定義より、広い概念といえる。

3 サイバーリスクはビジネスリスク

 リスク(risk)にも色々な定義がある。例えば、JISQ27000:2019においては、リスクは「目的に対する不確かさの影響」と定義されている。また、前述のCSFでは、リスクは「発生し得る状況または事象によって、企業が脅かされる程度の尺度であり、一般的には、(ⅰ)その状況または事象が発生した場合に生じ得る悪影響と、(ⅱ)発生の可能性との計算式によって求められる」と定義されている。
 このことから、サイバーセキュリティリスク(以下「サイバーリスク」という。)とは、サイバーセキュリティが脅かされる場合やその影響のことを意味し、一般的にはリスクが顕在化した場合の影響度と発生可能性(確率)の掛け算で求められる。また、サイバーリスクを含むリスクをマネジメントする、いわゆるリスクマネジメントは、リスクを識別し、分析及び評価して対応しつつ、継続的にリスクを監視することである。リスクへの対応は、リスクの回避、リスクの低減、リスクの転嫁及びリスクの受容の4つに分類されるが、リスクを評価した結果、基本的には、リスクをそのまま受容するか、リスクが顕在化した場合の影響度を受容できるまで低減するかを目指すことになる。

 会社としてビジネスを継続する場合、地震、感染症の流行、津波、土砂崩れ、台風等の自然災害から、工場火災や爆発、為替の乱高下、国家政策の変更、役職員の交通事故等、様々なリスクがつきものである。これらのリスクの一つにサイバーリスクが含まれるが、他のリスクとはその発生確率が全く異なる。例えば、火災保険について、損害保険料率算出機構が公表している2020年度の統計では、住宅物件の契約件数12,822,937件に対し、火災、破裂・爆発による支払件数は7,618件であり、発生確率は約0.06%である。トレンドマイクロ社が2022年に実施したアンケートでは、過去3年間にランサムウェア被害に遭った企業の割合は、全世界では約67%、日本だけでも約34.5%の結果になっている。ランサムウェア被害だけを見ても火災、破裂・爆発の発生確率とは数百倍の差があり、サイバー攻撃全体との比較でみれば、より大きな差になることは明らかであろう。
 企業はインターネットに接続される多様なシステムを導入して活用し、ビジネス展開していることから、これらのシステムに対するサイバーリスクは複雑性を帯びており、従来型の保護措置では防御しきれない状況に直面してきている。電子データ、情報システム及び情報通信ネットワークが複雑化してきているがゆえに、サイバーリスクが顕在化した場合の影響度は各企業にとって低いものから甚大なものまで様々な状況にあり、影響度の高いもの、すなわち事業継続が困難となるものから順に対策を講じなければならない。特に大量のデータ漏えいが企業に与える影響度は、情報の滅失や毀損の場合よりも大きいこともある。また、リスクが顕在化することによって、企業のレピュテーションやブランドに深刻なダメージを与えることもあり、このダメージによる損失は金額換算が容易ではなく、予測も困難となる。そして、甚大な損失が発生する事態に陥れば、経営者らに対する法的リスクが生じることもある。
 よって、サイバーリスクは、他の自然災害等におけるリスクの一つと同様に捉えるものではなく、よりビジネスに直結するビジネスリスクとして捉えるべきである。このように考えると、サイバーリスクは情報システム部門や情報管理部門だけが対応すればよいという問題ではなく、経営レベルとしての問題と捉える必要がある。したがって、経営者らは、サイバーリスクに立ち向かうために、サイバーセキュリティを確保する体制を構築し、運用しなければならず、全社を挙げて包括的な組織作りを継続的に行う必要がある。

4 経営者として意識すべきこと

 このようにサイバーリスクは、経営問題として捉える必要があるため、経営者として意識しておくべき点について述べる。

(1) 内部統制システム構築義務

 最初に、経営者らは内部統制システム構築義務を負っている。前述したサイバーセキュリティの確保には適切なリスクマネジメントまで求められており、適切なサイバーセキュリティを講じる義務が含まれ得る。しかし、具体的にいかなる体制を構築すべきかは一義的に定まるものではない。これは、各企業において事業継続のために重要な電子データや情報システム、情報通信ネットワークが異なり、いずれの箇所を重点的に保護するかは、各企業によって異なるからである。そのため、各企業が営む事業の規模や特性等に応じて、その必要性、効果、実施のためのコスト等様々な事情を勘案の上、いかなる体制を構築すべきかを決定することになる。経営会議等において、基本方針を決定することであっても当該義務を果たしたといえるため、最低限、この基本方針を決定することが求められる。
 そして、経営会議等において決定したサイバーセキュリティ体制が、企業の規模や業務内容に鑑みて適切ではなかったために、企業が保有する情報が漏えい、滅失又は毀損されたことにより損害が生じた場合、当該体制の決定に関与した経営者らは、任務懈怠に基づく損害賠償責任を問われ得る。また、決定されたサイバーセキュリティ体制は適切なものであったとしても、定められたとおりに運用されておらず、経営者らがこの実態を知り、又は注意すれば知ることができたにもかかわらず、長期間放置した場合も任務懈怠に基づく損害賠償責任を問われ得る。さらに、個人情報の漏えい等によって第三者が損害を被った場合、経営者らに任務懈怠につき悪意・重過失があるときは、第三者に対しても損害賠償責任を負うことになる。
 したがって、経営者らは、いかなる内部統制システムを構築すべきかを決定し、決定された内容に従って適切に運用されているかの両方の側面からサイバーセキュリティを確保することが求められている。

(2) 事前対策のない事後対応

 次に、事前対策のない状況下において、適切な事後対応はあり得ないという点である。これは、事前対策を何もせず、サイバー攻撃の被害が発生したことを想定してみると良いだろう。事前対策が何もされていなければ、サイバー攻撃による被害が発生した後、慌てて対応を開始することになる。そして、この時に、どのようなサイバー攻撃なのか、どのような被害が想定されるのか、そもそも自社にはどのような電子データを保有し、情報システムが構築されていたのか、どのようなサイバーセキュリティ体制だったのか、といった情報を収集することから始めることになる。各種の通信履歴が残っているのか、残っているとしてどのような通信履歴なのか、それは集約できるのかできないのか、といったことも一から確認していく必要がある。このような情報を収集してからようやく対応が開始可能となる。
 当然のことではあるが、事態への初動が遅れ、非常に短い期間に場当たり的な対応を指示するだけになり、現場の担当者任せにならざるを得ない。経営者らが判断するための基礎となる情報はどこに集約されるのか、情報システム部門や情報管理担当は何をするのか、被害を広報するのかどうか、取引先や顧客への説明は、警察へは、当局へは…、といったこともその場その場で決定していくことになる。場合によっては、事業を継続するために被害はなかったことにしたり、コンプライアンス違反となる対応をしたり、情報システム部門や部門担当者だけに押し付けて責任を問うたりすることもある。
 これでは、適切な対応を期待できないどころか、本来はあり得ない間違った対応をしてしまうことにもつながる。
 他方、適切な事前対策として準備をしておくことで、スムーズに適切な事後対応を取ることが可能となる。例えば、事後対応のための準備として日ごろから情報収集を行い、対応体制や役割分担も構築し、システムの導入や通信履歴の集約も実施しておく。対応マニュアルも策定し、どのような場合にはどのように対応するかを担当者が理解しておく。定期的な見直しや全社的な訓練も実施しておき、いざというときに備えておく。
 このような状況下において、サイバー攻撃の被害が発生した場合、経営者らが判断するための基礎となる情報の集約もでき、対応体制も整っているためすぐに取り掛かることが可能になる。このような事前対策を実施していたとしても想定外のことが発生し、慌てることもあり得るのであるから、事前対策を全くしていなければ、スムーズかつ適切な事後対応など期待できるはずもない。
 事前対策では、可能な限り想定した最悪の事態への対応を、平時のときに準備しておくのである。

(3) 技術的視点の考慮

 前述のように事前対策は必要不可欠であるが、3点目として、経営者らは自社システムの決定時や見直し時に、技術的視点を考慮しておくことである。
 例えば、ある重要な情報が保存された領域にインターネット越しにアクセスするサービスを提供しており、そのサービスを利用するための認証方式として、パスワード認証、それも4桁の数字のみ(0000から9999まで)のパスワードを何度でも試行が可能な認証方式であったとする。この場合、第三者がパスワードを0000から順に試すことができ、総当たり攻撃によっていつかは認証が突破されるため、適切な対策とはいえない。しかし、より強固な指紋認証やショートメッセージによるSMS認証等の二要素認証や多要素認証を導入しようとすれば、大きなコストや開発のための期間も必要になる。システム上、認証としてのパスワードはコストがそれほどかからず、また、複雑で長いパスワードにすれば、利用者は当該サービスを敬遠してしまうおそれもあるため、経営者としては一人でも多くの利用者を獲得でき、コストの低い方式という理由だけで、4桁の数字のみのパスワード認証を採用してしまうおそれがある。しかし、このような認証方式に対しては、不正アクセスの被害が多発しており、わずかなコストを削ったために甚大な損害が生じることもある。
 システム担当部門から経営会議にサイバーセキュリティ対策の議題が挙がった場合に、これを重大な課題であることを知りながら費用が掛かる等の理由からあえて放置したり、あえてコストの低いものを採用したりしたような場合には、前述したように、サイバーセキュリティ対策等の不備として経営者らの責任を構成することにもなりかねない。
 このような事態に陥らないようサイバーセキュリティの知見に長けた経営者を選任したり、経営者らの補佐役を起用したりして、常日頃から技術的視点を取り入れた経営判断が可能な体制を構築すべきである。
 一つの有効な方策としては、会社の中に常設の情報セキュリティ委員会を設置し、構成委員には外部の有識者としてサイバーセキュリティやリスクマネジメント、弁護士等を参画させることが考えられる。この委員会を四半期又は半期に一度開催し、会社全体あるいはグループ全体のサイバーセキュリティ対策等について意見を交わす場として助言をしてもらう方策である。このような委員会であれば、会社にとっても、また、有識者にとってもそれほど過度な負担にはならず、有益でかつ多角的な視点を取り入れることが可能になる。そして、実際にインシデントが発生した場合には、会社全体に対する助言を実施してもらうことが可能になる。このような取組みは企業規模を問わず、実現可能な方策である。

(4) 自社システムの健康診断

 4点目は、自社システムの健康診断を行うことである。サイバー攻撃を行う攻撃者から自社のシステムを保護するために、攻撃者と同様の視点に立ち、自社のシステムが外部からはどのように見えているかを把握し、防御システムの見直しをすることは効果的な対策である。これは、いわば企業の健康診断を行うようなものであり、隠れた病気を見つけるためには網羅的な検査が必要であることに類似する。
 攻撃者の視点に立つ方法としては、公開されている情報から自社システムに関する内部情報が存在しないかを確認する方法、自社システムに脆弱性(欠陥や設定ミス等)が存在してサイバー攻撃を受けないかを自社システムに接続して確認する方法、自社システムに対して実際にサイバー攻撃を模した試験を行い確認する方法などがある。
 サイバー攻撃を行う攻撃者は、様々な情報を駆使し企業に対して攻撃を仕掛けてくる。サイバー攻撃は、一か所でも弱いシステムが見つかれば、このシステムに侵入して攻撃範囲を拡大し重要な情報へアクセスしようとするため、攻撃者に有利な状況となっている。そのため、攻撃者視点の調査を定期的に行うことが、攻撃者と企業との間の情報格差をなくし、攻撃者に有利な状況を打開することにつながる。また、意図せずに自社の重要な内部情報が漏えいしていることを早期に発見することにも資する。
 サイバー攻撃の手法を知ることは自社システムの健康診断を行うことであり、これによって脆弱な部分を補強するなどの対策を検討し、自社の電子データ、情報システム及び情報通信ネットワークを保護することができ、強固なサイバーセキュリティを確保することができるのである。

(5) サイバーインシデント対応における経営者らの役割

 最後に、サイバーインシデント対応時の経営者らの役割の視点である。サイバーリスクが顕在化して、サイバーインシデントが発生後、経営者らは緊急対策本部(名称は各企業で定義されている)を立ち上げるかどうかを検討することになる。各企業には、どのような場合に緊急対策本部や危機管理委員会等を立ち上げるのか、そのメンバーは誰にするのかといった基準が策定されている。仮に、このような基準が策定されていなければ、すぐに策定しておく必要がある。サイバーインシデントが発生すれば、この基準に従い判断することになるためである。また、各企業には、事業継続計画(以下「BCP」という。)も策定されていると思われるが、この中に、サイバーリスクが顕在化した場合の対応計画も含めておくことが求められている。
 緊急対策本部を立ち上げた後は、予め定めておいたコミュニケーションツールを活用して情報を集約し、経営者らは正確な情報に基づいて様々な判断を行うことになる。被害状況、進捗状況等は刻一刻と変化するため、コミュニケーションを活発化して常に最新の情報を集約及び共有しておく必要がある。集約した最新の正確な情報に基づき、システムの停止や対応者の割当、対外的コミュニケーション(外部への公表、重要度の高い取引先や顧客への対応等)といったことを判断していく。
 例えば、被害に遭った企業が重要度の高い取引先にのみ連絡し、他の取引先がこの事情を認識した場合には、「なぜうちには連絡を寄越さないのか」といったクレームを受ける可能性もあり、取引を打ち切られるリスクもある。このようなリスクも踏まえて経営者らはその時々に応じて適切な経営判断を行う必要がある。そのためには、正確な情報が必要なのは当然のことであり、前述の緊急対策本部等の立ち上げを判断するために資する情報があるか、重要なシステムを停止する必要があるか、あるいは被害範囲や被害状況、被害額、被害経緯、被害の拡大防止、再発防止等をいつまでにどの程度まで対応が可能かということを状況に応じて適切に判断する必要もある。
 ほかにも、サイバー攻撃の被害を受けたシステムがあれば、それ以外は安全であるということまでいえるか、これを対外的にアピールすることができるかも必要になる。顧客や取引先等のステークホルダーが知りたいことは、被害の対象に自分らも含まれるのかという点と、現状は安全なのか、安全でなければいつまでに安全であると連絡してくれるのかという点である。仮に、特段の根拠もなく安全であることをアピールした場合、実際には被害を受けたと認識したシステム以外も被害に遭っていたということが判明すれば、企業に対する信頼が低下する。平時から安全であると判断するための基準を定めておき、インシデント発生時には情報を集約し、当該基準に基づいて判断していくことも有益であろう。
 このような情報集約体制、BCPの拡充、各種の判断基準を策定しておくことも経営者らには求められている。

5 結語

 本稿では、サイバーリスクは経営問題であり、経営者らが持つべき視点についていくつかを述べた。特に、外部の有識者も含めた情報セキュリティ委員会

・・・ログインして読む
(残り:約210文字/本文:約8609文字)