2017年6月20日（火）18時30分より、港区赤坂のアークヒルズクラブにて「J-Win Executiveネットワーク2017年度6月度定例会」が開催されました。

Executiveネットワークの定例会は、『経営者として、今後ビジネスや社会に大きな変革をもたらすDisruptive Technologyに関する知見を深める。 』ことを目的としています。最前線で活躍する第一人者の講師との2Way Communicationを通して、メンバーは、先端技術のビジネスにおけるリアルな適用事例・常識的な技術の全体像(動向)とビジネスにもたらす可能性の理解をし、自社ビジネスのイノベーションへの適用可能性を想起し、Top Executiveとして意見を持てるようにしていきます。

今回は、Executiveネットワークのメンバーでもある、日本IBM株式会社　執行役員　志済　聡子氏による「サイバーセキュリティーの現状と対策」をテーマに講演を実施。
・サイバーセキュリティーの最新動向
　・経営課題としてのセキュリティー対策
　・セキュリティー・ソリューション
について、お話を頂きました。
(＊肩書き等は講演当時のものです。)

「 サイバーセキュリティーの現状と対策 」
日本IBM株式会社　執行役員　
　セキュリティー事業本部長　志済　聡子　氏

講演は、2016年情報漏洩レコード数とその虚弱性が特に増加しているという実態と、日本年金機構のなど標的型攻撃による被害についてどういった経緯とやり方で起こったかの事例紹介から始まる。一連のサイバー攻撃には、大まかに3つのケースに分類できるようで、具体例やそこでやりとりされ専門用語を紹介されながら解説された。
ケース１：社員への巧妙なeメールを外部から送り攻撃をしかけ、ネットワークの穴ができたら、そこから情報を盗み出す。
ケース２：業務委委託社員が意図的にデータをダウンロードして外部へ販売するなど内部犯行によるデータ漏洩。
ケース３：企業を狙いWebサーバーやPCの虚弱性をつかれ、アカウント情報が搾取され不正送金などが行われる。

共通するのは、こういうことが起こるという想定が企業側にされていない。昨今被害が急増しているなかで、日本は安全神話がベースにありセキュリティーに関する意識が低い。企業や自治体にとっても一旦起こればその社会的責任と賠償の大きさから、セキュリティー対策はコストでなく投資ですと、志斎氏は強調する。今起こりうる脅威に対し経営として何をすべきかの示唆に富んだ内容であり非常に有用であった。

主な質疑応答は以下の通り
・今後、日本企業が取るべきことは？
　　→日本は安全神話がベースにありセキュリティーリスクに対する意識が低い（島国だから？）
　　セキュリティーを企業理念として捉え投資していくべきと考える（経費ではなく投資）
・システムの持ち方で脆弱性は異なるのか？
　　→DBが分散されると侵入経路が複数化しリスクが高まる。
　　統合することで統制が取りやすくなる。
・セキュリティー強化をすると利便性が低下するのでは？
　　→IBMでは「人間はミスをするもの」を前提におき自動チェック、
　　例外はNGを基本に運用している。セキュリティーに関する 企業ポリシーをどう持つかが重要。　　日本企業はトップダウンが少なくコンセンサスを取り進める傾向が強い。
　　よってセキュリティー対策が進みづらい。
・セキュリティーの世界はきりがない領域。投資判断するときの軸は？
　　→まずは社員のセキュリティーリテラシーを上げることが重要。社員が行う業務の柔軟性、
　　利便性、生産性を高めるために セキュリティーが重要であることを理解したうえで、
　　業界水準を目安に検討するのはどうか。一般的にＩＴ予算の 7%程度をかけている。
　　（米国は10%と言われている）