NEWSお知らせ
コラム:サイバーセキュリティと企業活動
2025.1.10
ホラーの大家であるスティーブン・キングが書いた作品の中に『セル』という小説がある 。(※1)この小説はある日携帯をもっていた人達の脳がハックされるという内容である。その記述はレバノンでの事件を思い出させると共に(※2) 、サイバー攻撃の怖さを想像させるものである。
サイバー攻撃は、2024年にも多く起こっており、日本航空への攻撃や(※3) 、DMMコインへの攻撃が北朝鮮によるものであった (※4)との報道がなされている。サイバー攻撃が注目されると、サイバーセキュリティ会社の株価が上がると共に、日本でもサイバーセキュリティ会社のM&Aが注目されている。
具体的にはGMOインターネットグループが2022年にイエラエセキュリティ社(※5) を、2024年にFlatt Security社(※6)を 、相次いでグループ化する事案が出現している。
サイバーセキュリティ会社は、海外でも同様に注目を集め、海外のトップ3企業の時価総額は、Cisco Systems Incが28兆5,736億円、Palo Alto Networks Incが10兆2,286億円、Fortinet Incが8兆0,022億円とのことであり、日本企業としてはトレンドマイクロ社が9,449億円で13位にランクされている 。(※7)
もっとも、サイバー攻撃はこのようなセキュリティ会社の活躍のみならず、攻撃を受ける会社の体制不備とも関係する。体制不備の問題は、人的不備の問題とセキュリティ不備の問題に大きく分類される。前者の具体例としては、特定人の隙を突かれてサイバー攻撃を結果として誘発してしまうことにある。企業としては、このような問題を回避するためには、従業員の教育・採用にも注意を払う必要がある 。(※8)
もう一つのセキュリティ不備の問題は、コーポレートガバナンス・コードとも関連する。具体的には、同コード(原則2-3)は「上場会社は、社会・環境問題をはじめとするサステナビリティを巡る課題について、適切な対応を行うべきである」ことを規定し、補充原則2-3①は、「取締役会は・・・サステナビリティを巡る課題への対応は、リスクの減少のみならず収益機会にもつながる重要な経営課題であると認識し・・・、これらの課題に積極的・能動的に取り組むよう検討を深めるべきである」と規定する。次に「サステナビリティを巡る課題」の具体例として、神田秀樹教授は自然災害のリスクや疫病のリスクに加えサイバーセキュリティ(以下「CS」という。)のリスクを指摘している 。(※9)
このことは日本国内の問題に留まらず、世界的にも重要な課題であり、世界経済フォーラムにおいては、「サイバーリスクに関する取締役会ガバナンスの原則」として6つの原則が提唱されている 。(※10)具体的には、①CSは戦略的なビジネス推進⼒であること、②サイバーリスクの経済的要因と影響を理解すること、③サイバーリスク管理をビジネスニーズに合わせること、④組織設計がCSをサポートすることを確認すること、⑤CSの専門知識を取締役会のガバナンスに組み込むこと、⑥体系的な回復力と連携を促進すること、が提唱されている。
もっとも近年はこれらに加え、CSの不平等性も問題になる 。(※11)この問題は簡単に言えば、セキュリティの高い会社・社会と、そうでない会社・社会の二極化が進んでいることを問題視するものである。またこの問題を突き詰めていくと、サプライチェーンの問題にも帰着する。つまり、自社がCSを高めていっても、サプライチェーン上の一社が脆弱性を有していた場合には、供給網に打撃が生じかねないという問題である 。(※12)
この問題は当然ながらBCP(事業継続計画)にも影響する。またサプライチェーンへの影響はコロナ禍でも問題となったし、人権問題・経済安全保障でもクローズアップされているテーマでもある 。
経済のグローバル化においては「如何に安く、効率よく生産出来るか」が重大なテーマであったが、サステナビリティが重要視される今日では、それに加え、安全性・持続可能性も大事なテーマとなり、その一環として広い視野でCSを見直す必要が出てきている。
――――――――――――――――――――――
■1 詳細は、https://stephenking.com/works/novel/cell.html参照のこと。
■2 詳細は、「ポケベル爆発 ヒズボラ“イスラエルによる犯行だ”報復を示唆」(NHK、2024年9月18日)https://www3.nhk.or.jp/news/html/20240917/k10014584401000.html参照のこと。
■3 詳細は、「JALにサイバー攻撃か 欠航や遅れも システム不具合は復旧」(NHK、2024年12月26日)https://www3.nhk.or.jp/news/html/20241226/k10014679271000.html参照のこと。
■4 詳細は、「DMMビットコイン流出 “北朝鮮ハッカー集団が関与と特定”警察」(NHK、2024年12月24日)https://www3.nhk.or.jp/news/html/20241224/k10014676711000.html参照のこと。
■5 詳細は、「国内最大規模のホワイトハッカー組織を有する株式会社イエラエセキュリティの子会社化によるサイバーセキュリティ事業への参入に関するお知らせ」(GMOインターネット株式会社HP、2022年1月24日)https://www.gmo.jp/ir_news/article/656/参照のこと。
■6 詳細は、「GMOインターネットグループにサイバーセキュリティスタートアップのFlatt Securityが参画」(GMOインターネットグループ株式会社HP、2024年2月13日)https://www.gmo.jp/news/article/8820/参照のこと。
■7 詳細は、「2023年最新版:世界の情報セキュリティ会社ランキング時価総額TOP100」(Reinforz Insight、2023年8月13日)https://reinforz.co.jp/bizmedia/10677/参照のこと。
■8 例えば、米国におけるチェック項目について、永野秀雄「米国におけるセキュリティクリアランス制度の基本情報」(経済安全保障分野におけるセキュリティクリアランス制度等に関する有識者会議(第3回)、2023年3月27日)https://www.cas.go.jp/jp/seisaku/keizai_anzen_hosyo_sc/dai3/siryou4.pdf18頁参照のこと。
■9 神田秀樹著『会社法入門(第3版)』(岩波書店、2023年)276頁参照のこと。なお、経済産業省は「サイバーセキュリティ経営ガイドライン」において、経営者がCISO等に指示すべき10の重要事項を示すと共に、コーポレートガバナンス・コード(原則4-11)との関係を指摘する。詳細は、https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_keiei/pdf/002_03_00.pdf参照のこと。
■10 詳細は、Global Cybersecurity Outlook 2024(https://www.weforum.org/publications/global-cybersecurity-outlook-2024/)参照のこと。
■11 詳細は、前掲脚注10参照のこと。
■12 なお、実務的には当該脆弱性の克服費用を現場が負担するのか、それともメーカーが負担するのか等の議論が存在するとのことである。
――――――――――――――――――――――
執筆者:柴原 多
※こちらもご参照ください。