サイバーセキュリティ対策は企業価値を守る“投資”

【サイバーセキュリティ課】

　経済産業省という複雑な組織を「解体」して、個々の部署が実施している具体的な政策について、現場の中堅・若手職員が分かりやすく説明する「METI解体新書」。

　第10回は、商務情報政策局　サイバーセキュリティ課の塚本大介課長補佐に話を聞きました。

サイバー攻撃による現実世界への影響が増えている

　世の中ではデジタル化が進んでいます。デジタル化により、「サイバー空間」という目に見えない空間でデータを取り扱うことが増えると、目に見えないリスクも生じます。サイバー空間はインターネットも含めたコンピュータネットワークを指し、世界に瞬時に繋がるので、「悪者」にも接続しやすくなります。「悪者」のサイバー攻撃から守るため、産業・企業のセキュリティ対策を進めるのがサイバーセキュリティ課の仕事です。

　サイバーセキュリティは、産業活動から私たちの日々の生活まで広い範囲で関わっており、内閣官房を中心に政府全体で取り組んでいます。その中で私が担当しているのは、工場のサイバーセキュリティ対策です。

　工場のシステムや機器は、以前は内部のネットワークで完結していて、インターネットにさらされないことを前提に設計されていました。ですが、最近のIoT化や自動化の流れの中で、データを取引先と共有したり、離れた工場の機械を連動させたり、工場のネットワークをインターネットにつなぐ必要性や機会が増えてきました。便利になる一方でセキュリティ上のリスクも増えていて、対策が必要です。

　実際に、外部からのサイバー攻撃で工場のシステムなどに障害が発生し、工場の操業を止めるなどの影響が国内外で発生したことがあります。アメリカでは、石油の供給に関連する企業がサイバー攻撃を受け、供給が止まって問題になりました。昔と比べると現実空間への影響が増えていて、サイバーセキュリティ対策の重要性が増しているんです。

まずは自社のビジネスで大事なものを自分で考えること

　産業界でも、工場のサイバーセキュリティ対策が大事だという問題意識はあったと思うんですが、幅広い関係者を巻き込みづらいなどの事情が多少なりともあったのではないかと思います。
　そこで、関係者を巻き込み、工場のサイバーセキュリティを議論するワーキンググループを立ち上げました。政府がリーダーシップをとることで関係者が議論しやすくなるという面はあったと思います。

　ワーキンググループでは、サイバー空間の便利さとともにリスクも考えてほしい、というメッセージを込めて、サイバーセキュリティに関する考え方のベースラインを議論し、「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」としてとりまとめました。
　工場ごとに規模や機器・システムは全く違うので、一律に「これだけやれば良い」という対策はありません。ガイドラインでは、企業や業界団体が、自ら対策を考えて、実行する上で参照すべき考え方やステップを示しました。

　セキュリティ対策が大事だとわかっていても、実際何をすれば良いのかがわからない経営者もたくさんいます。全く料理をしない人が突然カレーを作ってと言われても、レシピと材料がないと作れないですよね。対策を考えるときの指標として、このガイドラインを活用してほしいです。
　重要なのは、自社にとって大事な価値が何かを考え、それを守るためにどうするか自ら考えることです。例えば生産が止まったら困る、事業継続が大事だという場合、どうすればよいのか。様々な業界や企業がそれぞれの事情に合わせて考えることが大事だと思っています。

便利さとリスクはトレードオフ。何をどこまでやるかは各企業の判断

　サイバーセキュリティ対策の難しいところは、いくら対策しても絶対とは言えないこと。利便性とセキュリティ強度はトレードオフの関係にあるので、日頃の対策のコストと攻撃を受けるリスクをどう考え、どこまで何を対策するかは、経営者に委ねられています。

　例えば、家に鍵をかけるのは、泥棒に入られたくないからですよね。鍵をかけたり開けたりするコストを許容して、家の中を守っています。人によっては鍵を２つかけたり、外部の防犯会社と契約したり。でもそこに絶対的な安全はないので、正解はありません。
　「家の中にあるもの」＝「守りたいもの・こと」や、それがどれだけ自社にとって重要かも企業によって異なります。守るためのセキュリティレベルをあげればあげるほど、コストもかかり、便利さも犠牲になるかもしれません。

　ガイドラインがカレーの基本的なレシピと材料を示したものだとすると、煮込み時間をどれくらいにするのか、具材の質を高くするのか種類を増やすのか、スパイスにこだわるのかはそれぞれの企業の判断となります。難しい判断ですし、サイバーセキュリティ対策をコストと考える方も多いのですが、守ることができるのは、自社のビジネスに直結する価値そのものであり、そのための投資と考えてもらえればと思います。

　今後、サイバーとフィジカル（現実）のつながりは、一層広がっていくと思います。
　その中で、国として何ができるか、日々考えています。例えば工場のサイバーセキュリティの標準化を日本がリードできれば、日本の製造業が世界で活躍することにつながります。また、セキュリティ製品や製品のセキュリティ検証事業者は外資系企業が目立ちますが、国として自らチェックできない状態は問題があるのではないか、国内のセキュリティビジネスをもっと育てよう、という議論もしています。

　ラーメンを食べるのが趣味でいろいろなお店に食べに行くのですが、そんな時も、国として何ができるか、自問自答しています。