求められる経営者層の意識改革や人材育成
─編集部:経営者層の意識や人材育成についてはどうでしょうか。
〔1〕電力会社は10社から382社へ:セキュリティの課題が増大
図5 電力制御システムセキュリティガイドラインの表紙
新:業界によると思います。金融系は、実際にオンラインバンキング詐欺などが切実な問題となっていますので、金融ISAC注6を組織するなどして、経営者の意識、制度改革、業界の取り組みは進んでいます。同様に電力自由化にともない、電力業界の経営者の意識は変わってきています。
2016年7月に日本電気協会が「電力制御システムセキュリティガイドライン」(図5)を出しています。ここには電力会社の責任も明記され、役員クラスのセキュリティ担当者の設置も規定されています。業界全体の取り組みも重要となってきています。
それまで10社程度だった電力会社が、自由化によって382社(2017年2月21日現在)にも膨らんでいますが、これらの電力会社はすべてネットワーク、電力線でつながっています。セキュリティにおいて、どこか1箇所でも弱いところがあれば、そこから侵入され全体が脅威に晒されてしまいますから、「うちは対策しているから」で済む問題ではありません。
今年(2017年)4月からはガスの小売自由化がスタートするので、次はガス会社でしょう。それ以外の業界は、まだこれからだったり、中小企業の場合は単体でセキュリティ部門やリソースをもてないという問題もあったりと、全体としては、業界ごとの違いが大きく、サイバーセキュリティへの意識も「まだら」模様といったところです。
〔2〕育てた人材の評価も重要
渡辺:人材不足が叫ばれていますが、問題はそこだけではなく、育てた人材の評価やキャリアパスも考える必要があると思っています。
重大なインシデントをうまく処理すれば、会社の中で評価されるかもしれませんが、そうでない日々の業務も重要です。セキュリティなどの裏方仕事は、「問題がなくて当たり前」で平時の作業が評価されにくいという問題があります。企業内での評価、ポジショニングも考えた人材育成が大切だと思います。
▼ 注6
ISAC:Information Sharing and Analysis Center。金融ISACとは、正式には「一般社団法人 金融ISAC」といわれ、金融機関間のサイバーセキュリティに関する情報を共有するための組織のこと。