2022年2月にスタートしたセキュリティ連盟が、一般社団法人サイバーセキュリティ連盟として、新たなスタートを切った。3月24日に設立発表を行って、3人の就任予定理事が就任承諾書に押印。3月31日に登記し、活動を開始する。
セキュリティ関連企業のほか、SaaS事業者をはじめとしたIT関連企業や、人材派遣会社をはじめ幅広い業界の企業が参加。現時点で賛同企業は170社の規模に達しているという。今後、個人会員の参加も可能になり、企業も、個人も無料で加盟できる。
経営者の危機意識の低さから、対策が取られない実態を変えたい
同連盟の代表理事に就任した小池敏弘氏(サイバーセキュリティクラウド代表取締役社長兼CEO)は、「サイバーセキュリティ連盟は、業界団体ではなく、当事者自らがサイバーセキュリティに対する意識を高める活動を行う団体である。学習だけでなく、生々しい声を聞くこと、一方的な情報発信だけでなく、全ての参加者同士が情報交換をすること、情報を共有することで、日本全体のサイバーセキュリティの水準を高めることを目指したい」とした。
あわせて小池氏は、日本の経営者におけるサイバーリスクへの危機意識が低いことを指摘。「日本全国でDXが加速し、オンライン化が進展する一方で、サイバーセキュリティへの対策が足りていないと日々感じている。調査をすると、日本の企業経営者の43.6%がサイバーリスクによる個人情報漏えいといった被害にあう可能性が低いと考えており、そのため、サイバーリスク対策をしていないのが実態である」とした。
「この意識を変えたい。サイバーセキュリティ連盟では、『サイバー攻撃による深刻な被害をゼロに』をビジョンに掲げる。日本のDXをもっと安全にするためのサイバーセキュリティ対策に取り組み、サイバー空間を安心なものにしたい」と、抱負を述べた。
競合企業でもサイバーセキュリティにおいては情報を共有すべき仲間
同連盟の事務局長である西澤将人氏(サイバーセキュリティクラウド経営企画部部長)は、活動方針などについて説明した。
サイバーセキュリティ連盟では、サイバーセキュリティに関する専門講座の実施、コミュニティによる情報交換の活性化、調査レポートの発行や、被害事例を紹介した会員限定イベントの開催、各種セミナーやワーキンググループによる活動などを計画しているという。また、日本ビジネステクノロジー協会との連携により、セキュリティに特化したコミュニティを形成する予定も明らかにした。
2024年12月までに、網羅的・基礎的セミナーの開催、ツールを用いたコミュニティづくり、サイバー攻撃被害例を語る会員限定イベントなどを開催。2026年12月までに、1500人規模のDX関連のサイバーセキュリティカンファレンスの開催、国内最大規模となる5000人が参加するコミュニティの形成、300人規模が参加する会員各社における自社セキュリティ公開イベントの開催などを予定している。
2023年4月には、サイバー攻撃体験研修を開催。実際の体験を通じて、一般社員などがサイバーセキュリティに対する理解を深める場にするほか、6月には、サイバー攻撃で大きな被害を受けた半田病院などが登壇し、医療機関におけるサイバーセキュリティの被害事例を語る場も用意する考えだ。
「社内で留まっていた被害事例、自社ノウハウなどを、業界ごと、企業規模ごとに共有する場を作りたい」とする西澤氏は、「これまでは、自社のセキュリティへの取り組みは他社に話すことができないという意識があったが、立ち向かっているのはサイバー攻撃者であり、業界内の競合他社は、事業上では競合であっても、サイバーセキュリティにおいては情報を共有すべき仲間である」と、狙いを説明した。
また、業界内だけでない連携の必要性について「サイバーセキュリティ関連企業だけが集まって議論するのではなく、さまざまな業界の企業が参加し、業界内の横のつながりをつくりたい。また、産学官が連携して、サイバーセキュリティを推進したい」とも語った。
同連盟の理事に就任した小川隆一氏(情報処理推進機構 専門委員)は、官民で連携する意義についてコメント。「サイバーセキュリティに対する意識を高める活動が重要であるが、官での取り組みでは限界があり、点の活動に留まることが多い。また、セキュリティ意識の低い人へのリーチができていないという課題もある。だが、民の活動により、横への広がりが期待できる。こうした活動において、サイバーセキュリティ連盟にリーダーシップを取ってもらいたい」とした。
同じく理事に就く齋藤孝道氏(明治大学サイバーセキュリティ研究所所長)は、情報の発信力に期待を寄せ、「政府は、サイバーセキュリティを強化していく姿勢を打ち出しているが、その一方で人材不足などの課題がある。官民連携の取り組みは、これから必要になるが、安全保障の領域は、もはや国がなんとかしてくれるというフェーズではなくなり、これからは民から自発的に活動を行うことが大切である。その点でも、サイバーセキュリティ連盟の活動が重要になる。リーチできていない部分に、強い発信力で情報を届けていくことに期待している」と語った。
政府の取り組みだけでは声が届かない、民間との連携も活発に
ビデオメッセージを送った経済産業省の奥田修司氏(商務情報政策局サイバーセキュリティ課課長)は、その中で「経営者の責任」について強調した。「経済産業省ではサイバーセキュリティ経営ガイドラインを5年ぶりに改訂した。このなかで最初に謳っているのが、経営者が責任を持ってサイバーセキュリティ対策に取り組むことである。そのためにはどういった攻撃が、どのように行われ、自社にどう影響するかを、身近な例をもとに認識してもらうことが大切である。サイバーセキュリティ連盟がそこに取り組むことを期待している」と述べた奥田氏は、政府の取り組みだけでは声が届かない人がたくさんおり、連携を通じて、多くの人々にサイバーセキュリティ対策の重要性を認識してもらいたいとした。
総務省の小川久仁子氏(サイバーセキュリティ統括官室付参事官)は、「日本の社会全体のデジタル化が進むなかで、サイバー攻撃のリスクが高まっている。誰も取り残さないサイバーセキュリティ対策が必要であり、サイバーセキュリティ連盟による普及啓発活動は重要なものになる」とコメントした。
「サイバーセキュリティ対策は、コストではなく、投資であるという意識の変化につながることも期待している。総務省では、都市部に比べて、サイバーセキュリティに関わる人材育成や情報共有の機会が少ないと考えられる地域において、地域セキュリティやセキュリティコミュニティを通じて、セキュリティの意識啓発や対応能力の向上のためのセミナー、サイバーインシデント対応演習の実施により、地域に根ざしたサイバーセキュリティの向上を図っている。民間事業者との連携により、サイバーセキュリティに関する普及啓発活動の歩みを一緒に進めたい」と、全国的な啓発活動による意識向上に期待を寄せた。
経営者と一般社員の危機意識が低いとの調査結果
会見のなかでは、企業の経営者や管理職、一般社員などを対象に調査し、レポートとしてまとめた「サイバーセキュリティマインド」の内容についても説明が行われた。
これによると、サイバーセキュリティ対策の必要性を感じている人は全体の70.1%であるが、役職別に見ると、意識のギャップが明らかになる。本部長や部長、課長クラスでは平均以上にサイバーセキュリティの必要性を強く感じているものの、経営者・役員クラスは平均以下となる62.0%。一般社員に至っては半数以下の46.8%であることが分かった。
サイバーセキュリティ対策をしていない理由を聞いていくと、役職別に見て、経営者や役員の27.6%が「サイバー攻撃にあう可能性が低い」と考えているという。対策への意識が高い本部長や部長、課長のほか、係長・主任、一般社員からの回答では、「権限がない/実施していない理由が分からない」とする声が多い。
このことから、「経営者がサイバーセキュリティに強い意識を持つこと、社員も権限がないとか、知らないというのではなく、社員自身が積極的に情報を入手したり、経営者に対して必要な情報をインプットする役割を担ったりするべきである。全員がサイバーセキュリティ担当者という意識を根付かせる必要がある」と、課題が述べられた。
調査では、私生活におけるサイバーセキュリティ意識についてもまとめており、各役職で「怪しいURLリンクなどはクリックしないようにしている」と、日常で注意してインターネットを利用していることが伺える回答が最も多かった。しかし、一般社員では「とくに気をつけていない」が最も多く、このことから「デジタルネイティブと呼ばれる若い世代では、私生活においても、根本的にサイバーセキュリティ意識が低い」との指摘もされている。