10Minutes サイバーセキュリティの厳しい現実 サイバーセキュリティは ITだけの問題ではなく経

10Minutes
サイバーセキュリティの厳しい現実
April 2013
サイバーセキュリティは
ITだけの問題ではなく経
営課題にほかならない
ハイライト
ビジネスリーダーは、相互接続されたグローバルエ
コシステム（世界規模で複雑に連携する企業や組織
の体系）の中で起こりうるインシデントやビジネス
への影響を正しく認識した上で、企業を標的にする
攻撃者の深い動機や、その高い能力、より巧妙にな
る手口を正しく理解する必要がある。
企業では、ビジネス上、どの情報資産が最も重要で
あるかを評価することによって、保護の強化対象を
容易に決定できるようになる。
CEOおよび取締役会は、効果的なサイバーセキュリ
ティプログラムを設計し実行する環境を確保するこ
とに責任を持たなければならない。
今年、政財界のリーダーがダボスに集り開
催された世界経済フォーラムでは、顕在化する
サイバーセキュリティなどの主要なグローバル
リスクに焦点が当てられた。企業のリーダーと
私たちの共同研究によって、サイバーセキュリ
ティへの懸念が拡大していることが明らかと
なったが1、その一方で多くのCEOおよび取締役
会は、このビジネス上の問題の深刻さと重要性
に未だに気づいていないのも事実である。
サイバーセキュリティがいかに重要である
か。業界アナリストは、リスクが適切に識別、
評価、管理されていなかった金融危機前の心理
と比較している。同じことはサイバーセキュリ
ティについても言える。ビジネスリーダーが、
相互接続されたグローバル金融システムにおけ
る露出の範囲を十分に理解しなければ、重大な
危機に見舞われるのである。
今日、サイバー攻撃の脅威は、グローバル・
ビジネスエコ・システムにおいて、明白な目前
にある危険要因である。しかし、それにも関わ
らず、多くの企業はサイバー攻撃に対する管理
責任をいまだに技術チームの下に置いている。
サイバー攻撃の脅威とは何であるか？ビジネ
スリーダーにとって、今こそ理解する時が来た
のではないだろうか。それは、経営目標の達成
に著しい影響を及ぼす可能性がある、そして、
経営上の重大な問題となる企業リスクにほかな
らない。
1 http://pwc.blogs.com/ceoinsights/2013/01/
todays-ceos-worry-more-and-have-more-toworry-about.html
ビジネス環境の変化は、新たなアプローチを必
要とする：
1.企業の単位からビジネスエコシステムへと
フォーカスを拡げる ビジネスは、ダイナミッ
クに進化するビジネスエコシステムの構築に
よって、さらに相互接続され、統合や相互依
存の度合いを増している。顧客、サービスプ
ロバイダー、サプライヤー、パートナーおよ
び従業員との信頼関係や相互作用は、情報資
産や重大なデータを安全に共有することに役
立つ。
2.サイバー攻撃はビジネスに障害を与えている
ビジネスは、エコシステムにおいてITと通信
に依存しきっている。このことが、サイバー
攻撃を受けた場合の影響度を増幅させてい
る。知的財産、競争優位、安定操業、法規制
遵守および風評などが影響を受けかねない。
3.全ての情報資産が同格であるとは限らない
情報資産は、驚くべきスピードで急増し続け
ている。これら全てのデータを最高水準で保
護することは現実的ではなく、また可能でも
ない。ある種のデータは損失した場合にトラ
ブルとなり、また別の種類のデータは損失し
た際にビジネスの重要要素が破壊されること
になる。
はじめに
サイバー攻撃はこれまでにない勢いで加速しており、サイバーセキュリティ対策で遅れをとるわけに
はいかない。下表は、企業における新しいアプローチを紹介するものである。
従来のITセキュリティの考え方
今日における最先端のサイバー
セキュリティの考え方
考慮するスコープ
• 自社および自社グループのみ
• 相互接続されたグローバル・ビジ
ネスエコ・システムの範囲
誰の責任の下で
対応するのか
• IT部門が主導し運営する
• ビジネスの責任者；CEOおよび取
締役会の説明責任
攻撃者の特徴
• 偶発的かつ便乗型；悪評、技術的
挑戦および個人的利得による動機
• 組 織 的 、 金 銭 目 的 、 標 的 ； 経 済
的、金銭的および政治的な利得を
目的とした動機
情報資産の保護
• 総花的なアプローチ
• 「王冠の宝石（資産価値の高い情
報）」を優先し、保護する
防御体制
• 境界線防御;攻撃された際に受動的
に対応
• 攻撃を想定した事前計画、監視お
よび迅速な対応
セキュリティ情報の共有
• 自社限り
• 官民の協力;業界のワーキンググ
ループとの連携
01
ビジネスエコシステム
は、機会を創出すると
同時に、リスクをもも
たらす
「2008年に金融危機が襲った際、ショックを
受けた多くの評論家たちは、なぜ市場や規制
当局、金融の専門家がそれを予想できなかっ
たのかと問うた。今日、サイバー攻撃に対す
る世界経済の脆弱性についても同じ疑問が出
るかもしれない。実際、金融危機とサイバー
メルトダウンにおける類似性は顕著である」
—Kenneth Rogoff（ハーバード大学教授および国際通
貨基金の元チーフエコノミスト） 2
2 “Will Governmental Folly Now Allow for a Cyber
Crisis?” Project Syndicate, July 2012, http://www.
project-syndicate.org/commentary/will-governmentalfolly-now-allow-for-a-cyber-crisis-
企業のビジネス手法は、この20年間における技術革
新によって劇的に変化した。従来の境界線はシフトし
ており、企業はますます相互接続され、統合および相
互依存されている動的環境の中でビジネスを行ってい
る。エコシステムは、従業員、パートナーおよび顧客
だけでなく、法律事務所、投資銀行、サービスプロバ
イダー、政府系機関、規制当局、業界関係者、また競
争者さえも含み、開かれたコラボレーションや信頼の
モデルの周りに構築される。その結果、エコシステム
は、増加する世界中の攻撃者によって悪用されるうっ
てつけの標的となってしまった。
彼らのリスクは自分たちのリスクでもある
絶え間ない情報の流れは、ビジネスエコシステムに
とって必要不可欠なものである。データは、保護を必
要とする領域を拡大しながら、エコシステムを通じて
分配され、流出される。今日ではビジネスの完全性お
よび安定性は、これまでにない程、エコシステムに依
存している。
攻撃者は、ビジネス上の露出や影響が著しく増加
するエコシステムを通じ、積極的に脆弱性を狙ってく
る。例を挙げると、プロフェッショナルサービス会社
は、顧客の戦略的取引に関する書類を保有している
がゆえに標的になることがあった。また別のエコシス
テムでは、複数の国際的ハイテク企業が、サプライ
チェーン内の侵入によりハッキングされたことも
あった。
従来のセキュリティモデルでは不十分である
サイバーセキュリティのリスクが劇的に進化する一
方で、これらのリスクを管理するためのビジネスアプ
ローチの活用が追いついていない。従来の情報セキュ
リティモデルは、コンプライアンスに基づいたものや
境界線志向であるもの、また間接部門を安全にするこ
とが目的だったため、現状に対応できていない。
企業の境界線を越えて先を見据えた場合、企業はセ
キュリティの優先度や割当を再評価する必要がある。
ビジネスエコシステムにおけるサイバーリスクの管理
は、経営者の関与、最新の技術、および新しいスキル
や能力が要求されるため、複雑な問題である。
新しい世界に対する新しいアプローチ
ビジネスリーダーおよび取締役会は、もはやサイ
バーセキュリティを技術上の問題として考える余地は
ない。サイバー攻撃は、今や企業の経営上の問題とな
るリスクである。サイバーセキュリティをビジネス上
の対応不可欠な問題と捉える経営幹部は、エコシステ
ムの機会をうまく活用するよう組織を配置している。
「知識は力なり」つまり、エコシステムの脆弱性や脅
威に対する継続した洞察によって得られることは、知
識が少ない他者よりも、リスクを回避するための予想
や計画に役立つ。
02
なぜサイバー攻撃の
脅威はビジネスリスク
となったのか
世界経済フォーラムのグローバルリスク報告書上位10位
影響大
サイバー攻撃は、50の潜在的リスクのうちに最も起こりやすいグロー
バルリスクとして6番目にランクされた。（下図右上半分がリスクの高
いもの）
温室効果ガス
排出量の増大
長期間にわたる
財政不均衡
水供給危機
気候変動対策の
失敗
極端な
所得格差
2
5
7
3
1
長期間にわたる
労働市場の
不均衡
10
4
9
異常気象の
常態化
高齢温室効果ガス
排出量の増大化への
対応の失敗
6
サイバー攻撃
8
影響小
広がる腐敗の慢性化
発生の可能性小
発生の可能性大
出典：World Economic Forum Global Risk Landscape
2013
CEOおよび取締役会は市場の脅威または競合相手
を評価する際、サイバー攻撃の脅威についてはこれ
までほとんど考慮してこなかった。今日、ビジネス
エコシステムを通じて簡単にグローバルにアクセス
できることに伴い、莫大でかつ集中したデータは、
サイバー攻撃からの露呈を拡大している。成功した
攻撃や匿名のまま気づかれずにいる能力は、ビジネ
スエコシステム接続されたコンピューターとインター
ネットを持つ誰に対しても侵入の機会を与えてし
まった。
私たちは、さまざまな企業と共に業務遂行してきた
幅広い経験の中で、攻撃者が誰にも気づかれないまま
アクセス権限を獲得し維持する多様な方法や戦術を駆
使するのを目撃してきた。攻撃は、まずは被害者のコ
ンピューターを危険にさらすウェブサイトの添付書類
やリンクを含んだ電子メールから始まり、最終的にビ
ジネスの中核へと及んでいくことが多い。
攻撃者－動機、手段および方法
組織は、ビジネスが直面しているサイバー攻撃の脅
威に関する洞察力と情報収集するための継続的な能力
を確立する必要がある。この洞察力を持っていれば、
ビジネスリーダーは企業のサイバー攻撃の脅威プロ
ファイルでの変化を予想でき、また動的に対応するこ
とができる。
国民国家、組織犯罪、ハクティビスト、テロリス
ト、また従業員でさえもが、全て潜在的な攻撃者とな
りうる。攻撃者は、教養や決定力がありまた忍耐強
く、優位な立場を得るために、個人、企業あるいは業
界を標的とするだろう。彼らの動機は、経済スパイか
ら、情報の迅速な現金化や政治的課題の促進にまで
及ぶのである。低リスク・高リターン方程式を導くグ
ローバル・ビジネスエコ・システムにおいては、文化
的慣習の差異や地理的・法的な境界線は、攻撃者に
とっては障壁とはならない。
多くの攻撃集団は、無制限のリソースによって擁立
され、場合によっては外国の諜報機関によって資金提
供されるか、情報を与えられていることもある。攻撃
集団は、技術、ビジネスプロセスおよびスパイ活動戦
術のエキスパートである非常に優秀な個人をあてがう
ことも多い。
あなたの会社のエコシステムにおいて予想される
脅威
エコシステムに絶え間なく脅威を与えるサイバー攻
撃に対して、企業は、ビジネス上の損害や混乱を完全
に除去することより、むしろ最小限に留めることこそ
が核心なのだと理解し始めている。侵害が明るみに出
るまで待つのではなく、脅威を事前に考慮することに
よって、収益の減少、競争の不利、評判の低下、株主
価値の低下および顧客信用の悪化などのマイナスの影
響を抑えることができる。
03
あなたの会社にとって、
そして攻撃者にとって、
どのような情報が本当に
重要なのか
最もリスクが高いのは何か?
サイバー攻撃者にとって最も興味があるのは技術とビジネス情報である
情報通信技術
軍事技術
クリーンテク
ノロジー
先端材料・製造技術
医療・製薬および関連技術
農業技術
ビジネス取引
情報
$
マクロ経済情報
エネルギー・
その他天然資源情報
出典：Office of the National Counterintelligence
Executive, Report to Congress on the Foreign
Economic Collection and Industrial Espionage,
2009-2011, October 2011.
組織は莫大な量のデータを生み出す。取るに足りな
いものもあるが、極めて重要性が高く、万が一漏洩し
たらビジネスに打撃を与えるものもある。その全てに
同等のプライオリティを置くことは、費用対効果の観
点から現実的ではなく、またその必要性もない。
あなたの会社にとっての「王冠の宝石」とは何で
あるのか?
企業は、「何が最も価値のある情報資産なのか」、
「その情報資産はどこに保存すべきなのか」、また、
「誰がアクセス権限を保有すべきなのか」を決めなけ
ればならない。企業にとっての「王冠の宝石」は、盗
難や障害が起きた場合、または不適切に利用された場
合に、ビジネスに重大な問題を与える情報資産または
プロセスである。例えば、商品のデザイン、ヘッジファ
ンドの取引戦略、新市場計画および通信監視などが含
まれる。
組織は情報資産を保護するのに「総花的」なモデ
ルを適用することがあるが、これはまったく有効では
ない。組織の経営幹部は、財務実績やそのほかの主要
な企業経営指標に対する責任があるのと同じように、
王冠の宝石の保護についても責任を持たなければなら
ない。
中には影響があまりに深刻であったため、優良企業
が最終的に廃業に追い込まれたケースもある。実際の
ところ、公開企業の数社が長期間にわたって健全なビ
ジネスを破壊するハッキング被害に遭っていた事実を後
になって公表した。ある電気通信会社のCEOが、「ハッ
キングが真の問題であるとは信じがたかった」と述べ
たのは有名である3。しかし、後日、その企業のセキュ
リティ担当役員によると、「広範囲なサイバー攻撃が
企業崩壊の一因となったことを認めざるを得なかっ
た」と述べた4。
攻撃者は絶えず進化しているため、ビジネスもそ
うでなくてはならない
攻撃者は、グローバルのビジネスエコシステムに内
在する脆弱性を悪用しようと、その能力を絶えず進化
させている。しかし、企業はまだ対応が追いついてい
ないため、時代遅れのセキュリティモデルを構築する
セキュリティ製品やそのサービスに対して何十億米ド
ルも投資しており、皮肉にもそのことが経済的効果す
ら生み出しつつあるのだ。必要なことは、現在と将来
における「王冠の宝石」を有効に保護するためには、
ビジネスによる資産の最適配置や優先順位付けなどの
進化したアプローチが必要である。
その重要性について何年もの間気づかないかもし
れない
研究開発情報、知的財産、企業秘密、またはそのほ
かの高価値な情報が漏洩したとしても、ただちにビジ
ネスへの影響を認識することはないかもしれない。競
争優位やキャッシュフローの低下に対するビジネスへ
の影響を実感するまで、何カ月も何年もかかるかもし
れない。
3http://articles.washingtonpost.com/2012-02-14/
business/35442181_1_hackers-gmail-accounts-highprofile-hack
4http://www.cbc.ca/news/business/story/2012/02/15/
nortel-hacking-shields-as-it-happens.html
04
優位に立つこと：
行動への自覚
ビジネスを保護するだけに留まらず、サイバーセ
キュリティに対して重点的な取り組みを維持するCEO
および取締役会は、最終的に企業の収益性を向上させ
ることになるだろう。私たちは、このアプローチを
「行動への自覚」と呼び、全ての活動や投資は、情報
資産、エコシステムの脅威および脆弱性に関して、最
良で入手可能な知識によって牽引され、またビジネス
活動の中で評価されることを意味する。以下は、あな
たの会社のサイバーセキュリティに対する姿勢を評価
する際にまず検討すべき3項目である。
1. サイバーセキュリティ戦略および能力を強化
する
CEOの大半は、ビジネスを麻痺させる可能性のあるサ
イバー攻撃によって不意打ちを食らうであろう。
サイバー攻撃またはインターネット上の大規模な混乱は、どれくらい起
こりうるだろうか。
起こりえない、
定かでない、
わからない
起こりうる
80%
20%
Global CEOs
• 統合されたサイバーセキュリティ戦略は、私たち
のビジネスモデル上極めて重要な部分となっている
か。その戦略は、セキュリティに関する技術、物
理、プロセスおよび人材の全ての分野を考慮して
いるか。私たちは、必要な資産や投資に適応してき
たか。
• 私たちは、重大な脅威、新たな技術および戦略のイ
ニシアチブについて、社内の責任者に助言できるセ
キュリティ能力を持っているか。
• 私たちは、ステイクホルダーに対して、サイバーセ
キュリティ戦略を説明できるか。投資家には？規制
当局には？さらには、エコシステムのパートナーに
は？
2. セキュリティリスク環境における変化を理解し
適応する
対象：世界のCEO、1,330人
出典：PwC 第16回世界CEO意識調査、2013
• 私たちは、ビジネス上、何が最も価値のある情報資
産であるかを知っているか。私たちは、情報資産の
価値に応じてセキュリティ保護対策の優先順位を付
けているか。私たちは資産が損なわれた場合のビジ
ネスへの影響度を定量化しているか。
• 私たちは、ビジネスが直面している脅威の著しい変
化を理解しているか。攻撃者が何者なのか。彼らの
狙いが何なのか。彼らがどのような技術を使用する
可能性があるのか。
• 私たちは、内外の情報源から有効な情報を積極的に
入手し適用しているか。私たちの管理対策は、業務
活動に対してどのように対応しているか。私たちは
関連する官民との連携に積極的に関与しているか。
3. ビジョンおよびカルチャーの共有を通じてセ
キュリティに対する姿勢を高める
• 情報セキュリティの最高責任者は、IT部門から独立
し、サイバーセキュリティ対策に取り組む委員会や
経営幹部に対し直接報告を行っているか。
• 従業員は、情報資産を保護するための自らの役割を
理解しているか。私たちは必要なツールやトレーニ
ングを提供してきたか。
• 私たちはサプライヤーやサービスプロバイダーにど
んな保証を要求するのか。私たちは、リスクポート
フォリオを積極的に監視、監査、修正しているか。
私たちはエコシステムを通じて資産を保護するため
の適切な基準を設けているか。
今後の
10Minutesのトピック
オペレーションの有効性を通じて税務上の不確実性を管
理する 税務機能は、改善が見過ごされてしまう分野であ
る。税務機能は硬直的かつ時代遅れのシステムによって
がんじがらめになっていることが多く、変化に対する備
えができていない。さらに悪いことに、この時代遅れの
システムは、企業やCFOが任期を全うするにあたって隠
れたリスク源となっている。税務機能は、リーン生産方
式、シックスシグマおよびエンタープライズ・リソー
ス・プランニングがほかの全社機能を転換させたのと同
様に、組織的な変化の時期を迎えている。その結果、リ
スク管理、予測、分析力や、資金節約までも改善される
であろう。
環境効率権の実現
PwCの第16回世界CEO意識調査において、世界の
CEOのほぼ半数（48％）が、来年に環境への負担削減
による環境効率の支援を計画していると回答している。
しかし、こうした取り組みが行き詰ってしまう可能性は
大いにある。コスト効率が良く、環境にやさしいプロジ
ェクトが実現しないこともある。本10Minutesでは、環
境への取り組みに関するビジネスケースの最新アプロー
チを紹介し、間接的な利益の実例を示し、あなたの会社
の判断にどのように無形資産を織り込むことができるか
を説明する。
業界シリーズ：中国医療改革における可能性の明確化
第12次5カ年計画の採択により、中国の医療業界は
投資の機会に溢れており、今後も続くであろう。インフ
ラの強化、保険補償の拡大、私立病院数の増加は、外国
人投資家にとってこれまで以上に中国との提携が容易と
なる可能性を意味する。本10Minutesでは、開かれた、
また分散化した中国の医療分野でのビジネスの現在およ
び将来の選択肢について考察する。
お問い合わせ先
松崎 真樹
プライスウォーターハウスクーパース株式会社
パートナー
03-3546-8480（代表）
[email protected]
山本 直樹
プライスウォーターハウスクーパース株式会社
ディレクター
03-3546-8480（代表）
[email protected]
10Minutes は、1分でダウンロードでき
ます。無料の10Minutesアプリをダウン
ロードください。
ビデオ、対話形式化映像、スライドショー、ポッドキャ
ストにより詳細が閲覧可能です。
※英語でのご提供となります。
林 和洋
プライスウォーターハウスクーパース株式会社
マネージャー
03-3546-8480（代表）
[email protected]
藤田 恭史
プライスウォーターハウスクーパース株式会社
マネージャー
03-3546-8480（代表）
[email protected]
PwCは、世界158カ国 に及ぶグローバルネットワークに180,000人以上のスタッフを有し、高品質な監査、税務、アドバイザリーサービスの提供を通じて、企業・団体や個
人の価値創造を支援しています。詳細は www.pwc.com/jp をご覧ください。
PwC Japanは、あらた監査法人、京都監査法人、プライスウォーターハウスクーパース株式会社、税理士法人プライスウォーターハウスクーパースおよびそれらの関連会社
の総称です。各法人はPwCグローバルネットワークの日本におけるメンバーファーム、またはその指定子会社であり、それぞれ独立した別法人として業務を行っています。
本報告書は、PwC メンバーファームが2013年4月に発行した『10Minutes on the stark realities of cybersecurity』を翻訳したものです。
電子版はこちらからダウンロードできます。 www.pwc.com/jp/ja/japan-knowledge/report.jhtml
オリジナル（英語版）はこちらからダウンロードできます。 www.pwc.com/us/en/10minutes/cybersecurity-realities.jhtml
日本語版発刊月：　2013年8月
管理番号： M201306-4
©2013 PwC. All rights reserved.
PwC refers to the PwC Network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for
further details.
This content is for general information purposes only, and should not be used as a substitute for consultation with professional advisors.