Armorisでいろんな案件にたずさわる川崎（筆者）です。

　2023年6月末、とある案件で、弊社CTO鎌田と筆者は北ヨーロッパのエストニアのタリンを訪れました。現地では、エストニアのサイバーセキュリティの権威であり、Armorisの協力メンバーでもあるレイン・オッティス（Rain Ottis）や、NATOサイバー防衛センターのシニアフェローを歴任し、重要インフラ分野にサイバーセキュリティの権威でもあるヤーン・プリッサル（Jaan Priisalu）と、サイバーセキュリティを維持・向上させるためにはどのような方策があるのか議論しました。ここでは、彼らとの議論を通じて得られた重要な論点をまとめます。

必要なのは、ビジネスプロセスへの影響を検討する視点

　サイバーセキュリティを考える際に重要な視点について、とある企業の製造工場を例に考えてみましょう。

　工場に対するサイバー攻撃があったとき、それがIT・システムそのものを標的にしたものであれば、影響範囲はその（IT・システム）周辺にとどめられる可能性があります。例えば、工場の業務用ウェブサイトがDDoS攻撃（サービス妨害攻撃）によってダウンしたとします。これはもちろん迷惑極まりないことですが、事前に定められた事業継続計画に沿って製造を進めている場合、生産現場はそのまま活動を続けることができるかもしれません。そうしているうちにいずれDDoS攻撃は終わります。サイバー攻撃によるダメージがウェブサイトのダウンだけに抑えることができれば、工場の主要なビジネス・プロセスにまで重大な支障をきたすことはないでしょう。

　しかし、攻撃者の狙いが、主要なビジネス・プロセスを制御するコンピューターを危険にさらすことだったとしたらどうでしょう？ つまり工場が操業不能になるような攻撃や、顧客の資産を侵害するような攻撃が成功すれば、その企業の事業や財務に深刻な影響を及ぼすでしょう。もしかしたら、企業の評判や市場価値にも暗い影を落とすかもしれません。最悪の場合、製品の品質が損なわれ、消費者を危険にさらすおそれもあります。さらに踏み込んでいえば、市場におけるその企業の競争優位性がサイバー攻撃によって中長期的に損なわれるといったことすら考えられるのです。

サイバーセキュリティは、IT・システム担当者だけの問題ではない

　このように、短期的かつ限られた範囲へのサイバー攻撃というのは、多くの企業にとって、十分に耐えられる範囲の出来事かもしれません。しかし、ビジネス・プロセスそのものが侵害される深刻なサイバー攻撃が起きたとき――その時に企業はどう対応するのか、その準備はできているのか、どうやって準備すればよいのか――こうしたことを考え、対応を実行することが大切になります。より具体的には、IT・システム担当者やサイバーセキュリティ担当者はもちろん、生産ラインや事業部の管理者、工場で働く技術者がインシデント管理に携わることが不可欠です。

　また、経営者は、法執行機関や政府、公的機関、サプライヤー、自社製品を利用する顧客企業、そして一般市民とコミュニケーションを取る必要もあるでしょう。サイバーセキュリティは単独で存在するものではありません。単にIT担当者やサイバーセキュリティ担当者の問題ではなく、組織を構成する全員が主体的に取り組むべき、とも言えます。

自組織を振り返る機会の必要性

　我が国においても、サイバーセキュリティは企業の経営の問題だと指摘されて久しいですが、IT・システムやリスク管理の問題にとどまらず、中長期的な市場競争力の観点からサイバーセキュリティを考えるということも必要になるでしょう。

　地政学的なリスクをはじめ、さまざまな不確実性が高まるなかで、自組織のサイバーセキュリティに対する姿勢の確認など、いまいちど考えてみることも大切かもしれません。また、今回ブログでお伝えしたような、国の枠を越えた知見に触れることも非常に有効な手段になると思います。

　このブログの内容が、皆様の参考になれば幸いです。

2023/8/24（木）追記： レインさんが、9月27日（水）LIVE型オンライン講座「欧州サイバーセキュリティ事情」を開催します。 欧州サイバーセキュリティのトレンドをLIVEで解説。受講生も参加できる双方向講座。逐次通訳付きです。 ご参加お待ちしております！ https://prtimes.jp/main/html/rd/p/000000002.000123521.html