米欧企業へのヒアリング調査

本調査の一環として、米欧企業の情報セキュリティに対する取り組みの実態及びベストプラク ティスの把握を目的に、海外企業7社及びセキュリティ関連団体1団体に対してヒアリングを実 施した。主な調査項目は以下のとおりである。

 CISOの役割や権限

 CISOの責任や権限、企業内での位置づけ

 サイバーリスクの経営課題としての位置づけ

 CISOとしての取り組みや課題 等

 CSIRTに関して

 CSIRTの役割や権限、設置目的

 CSIRTに対する評価

 CSIRT運営に関するベストプラクティス 等

 サイバー保険に関して

 加入状況

 加入または未加入理由 等

 その他

 個社別の質問

 日本企業へのメッセージ 等

今回ヒアリングを実施した企業の概要は下表のとおりである。

業種 会社規模（単体社員数）

E社 投資銀行 1,000人以上

F社 保険 1万人以上

G社 電機 1万人以上

H社 建設 1万人以上

I社 航空 1,000人以上

J社 製薬 1万人以上

K社 海運 1万人以上

L団体 ユーザ系セキュリティ団体 － 表 4.2-1 ヒアリング対象企業の属性 ヒアリング結果

E社（米国、投資銀行）

置き、グローバルに事業を展開している。売上高は数十億ドルで、従業員数は 1,000 人以上であ る。

a）組織的対策の方針について

E 社は、サイバーリスクを他の事業リスクと同様に最重要リスクとして認識しており、経営層 もサイバーセキュリティの重要性を認識している。

同社の保護すべき情報資産で最も重要なのは、投資家及び社員から提供された機密情報（知的 財産情報、従業員情報、投資家情報）及び自社の評判(レピュテーション)・ブランドである。特に 自社の評判を重視しており、自社の評判の毀損がファンドの資金獲得に影響を与えると考えてい る。

E 社では経営層が日常的に新聞報道等からセキュリティインシデントやサイバー犯罪に関する 情報を収集しており、サイバーセキュリティに対する理解がある。E 社では経営層の理解に加え 情報資産の毀損による事業への影響が大きいことから、セキュリティ強化に関して積極的な予算 措置をとっている。また、企業の評判への影響を最大の懸念事項と考えており、それを守るため には全ての対策を実施する方針である。そのため、セキュリティ投資に関して、ROI（Return On Investment）は重視されていない。

b）CISOについて

E社のCISOはCTO（Chief Technology Officer）の傘下に置かれ、同社のセキュリティプログラ

ムに責任を持っている。CISOから報告を受けたCTOはCFOへ報告を行っている。

CISO は定期的な経営陣への報告を実施している。具体的には、四半期毎の CEO/COO（Chief Operating Officer）への報告書作成、ワーキンググループ（各関連部署への報告とインプット）で の報告、月次でのCTO・CFOへの報告である。

CISOに求められる資質としては、技術知識やマネジメントの能力をあげており、特にベースと なる技術知識はCISOに必須の能力としている。E社CISOは技術出身で、以前は技術出身のCISO が多かったが、最近ではマネジメントのポジションから CISO になるパスも増えつつある。この 背景としては、CISOの重要な責務の一つとしてリスクマネジメントがあり、この実現のためには 経営陣やステークホルダー、セキュリティ関連部署の技術者とコミュニケーションを行う能力が 求められるためとしている。また、CISOに関しては専任としたほうがよいと指摘している。これ は、サイバーリスクは他のビジネスサポート機能（特にIT）との調整が必要で、利益相反となる 可能性もあることから、専任にしたほうが円滑に組織運営ができるためである。

また、CISOが同社のセキュリティ対策を進める上での課題として、セキュリティとビジネスの 両立をあげている。セキュリティ対策を進めることによりビジネス展開に影響が発生する可能性 があるが、同社ではリスクベースポリシーの策定と例外対応でこの課題に対応している。特に後 者は、ポリシー規定に違反しているが特定のプロジェクトの遂行上必要と考えられるサービス（ク ラウドサービス等）の利用に関しては、例外的に許可することで利便性を損なわないように配慮 している。同社では、通信やPCの状態等を可能な限り可視化し、通常と異なる行為や活動を早期 に検知する体制とすることで、セキュリティとビジネスの両立を図っている。

c）CSIRTについて

E社はCSIRTを設置しており、インシデント発生時の技術的調査や情報収集、経営陣等への報

告、外部との調整の役割を担っている。

同社のCSIRTでは、日常業務のモニタリングの一環として「ハンタープログラム」を運営して

いる。これは、定期的にエンドポイントをスキャンし、通常と異なるプロトコルやバイナリーな どを観察し、少しでも疑わしい痕跡がないかを調査するものである。同社はこれまでの、インシ デントを検知してから対応する受動的な運用であったセキュリティ対策を、インシデントにつな がり得る要因を積極的に発見する能動的な方法に移行することで、インシデントの発生を未然に 防ぐ取り組みを行っている。また、内部インシデント対応も強化しており、各従業員のアクセス 権限を明確にし、技術・プロセスで制御する施策を導入している。

現在CSIRTが抱えている課題には、IAM（Identity & Access management）の強化とフィッシング

対策がある。フィッシング対策に関しては従業員教育を強化することで対処している。従業員教 育はグローバルで半年に100回程度実施しており、フィッシングメール対策の訓練は経営陣も含 めて実施している。また、CSIRT を運営する上での課題では、誤検知の増加とそれへの対応をあ げている。複数のセキュリティ機器からアラートが上がるため、その分析と調整にリソースが割 かれている。

E社はCSIRTの効果的な運営には、演習による関係者の経験値向上が重要であると考えている。

そのため、E社では現在、CSIRTのトレーニングプログラムを策定しており、年1回実施の方向 で検討している。トレーニングはサードパーティに委託し、技術的対応中心のものと、社内関係 各部署（人事、広報、経営陣など）参加のフル演習の2種類を実施予定としている。

d）サイバー保険について

E 社はサイバー保険に加入していない。未加入の理由としては、現在のサイバー保険ではセキ ュリティ対策状況に関する明確な評価基準や標準が整備されていないことをあげている。また、

保険料が高額であるが、保証される範囲がインシデント発生時の調査費用等のみであり、自社の 事業に莫大な影響を与える、自社の評判へのダメージに関してカバーされないこともあげている。

e）その他

E社では投資先のセキュリティ評価を実施する際、投資先企業のCEO/CFOに対して12項目（セ キュリティ予算有無、セキュリティ責任者有無など）の質問状を送付し、回答状況によりセキュ リティ格付けを実施している。これにより投資可否が決定する訳でないが、セキュリティ強化に 必要な費用は企業評価に反映される。また、各投資対象先のセキュリティ状況へのコンサルと支 援（例えば、セキュリティ人材の紹介、リスク評価実施など）を実施している。

F社（米国、保険）

F 社は米国に本社を置く大手医療保険会社である。同社は米国内外で事業を展開している。売 上高は数百億ドルで、従業員数は1万人以上である。

a）経営層の認識について

F 社ではサイバーリスクがビジネスに直接的に影響を及ぼすリスクであると認識されている。

同社には全社のセキュリティを管理するGlobal Security Groupがあり、CSO（Chief Security Officer）

がトップを務めている。CSOは物理的セキュリティとサイバーセキュリティの両方を管轄してお り、サイバーセキュリティのトップがCISOである。現在CISOはCSOを兼務している。

F 社の保護すべき重要資産は、顧客情報と知的財産である。これらを保護するためにデータ保 護（機密区分の指定や暗号化）やシステムの構成管理、リスク評価等の必要なセキュリティ対策 を実施しており、競合他社に対する競争優位性を保てるように取り組んでいる。

b）CISOについて

CSOは、CEOやCOO、CFO等をメンバとするExecutive Committeeの下に位置づけられている。

同社の CISO は、情報資産保護に必要なプログラムの策定や優先順位の検討、経営陣を含めた 関係者に対する説明、必要な予算や人員を確保する役割を担っている。セキュリティプログラム の策定にあたっては、情報資産保護に必要なプログラムを検討し、事業リスクと事業目標とのバ ランスを考慮し優先順位付けを実施している。また、CISOはSecurity Steering Committeeの委員長 を務めており、リスク情報の共有や新規セキュリティプロジェクトの説明等を実施し、セキュリ ティ対策状況の可視化を図っている。

F社ではCISOが考案したリスクスコアカード（8分類されたセキュリティ項目に関して、発生 頻度やインパクトをもとにスコア化。NISTやISO等の標準を参考に作成）をもとに、リスク評価 を実施している。この評価結果を、F 社全体のリスクを管理するエンタプライズリスクマネジメ ントオフィスと共有することで、サイバーリスクもビジネス上の重要なリスクの一つとして位置 付けられるようにしている。

CISOが抱える課題は、セキュリティ対策を推進する上での経営陣に対する説明とセキュリティ 人材の確保である。前者は、経営陣が期待する対策レベルと現状の予算・人員で実施できるレベ ルとのギャップを示し、今後必要になる対策のための予算・人員を確保し、いかに成果を上げる かである。特に、セキュリティ投資を経営陣に説明する際には、セキュリティ対策を適切に導入 することによるビジネスプロセスの効率化や、顧客満足度の向上等の観点から KPI（Key Performance Indicator）を示すことが求められている。後者に関しては、能力のある人材を確保・

維持するために、適切な評価やインセンティブを付与する必要性をあげている。また、セキュリ ティ分野は現在人気のある職種で確保が難しいため、自社で人材を訓練することも検討している。

c）CSIRTについて

F社はCSIRTを設置しており、専任者に加え、ローテーションベースで20～25人の兼任者がい

る。CSIRT は原則としてインシデント発生時のハンドリングの全責務を担っており、インシデン ト発生時には必要に応じて必要な部署の適切な人員をアサインすることとしている。また、この プロセスは文書化されている。

同社のCSIRT機能には、SOCとサイバーインテリジェンス機能がある。SOCは定常的なモニタ

リングを中心に担当し、サイバーインテリジェンスチームは日々情報の収集や分析、共有を行っ