※本動画コンテンツは、2022年11月10日(木)に配信したJBpress/JDIR主催「第2回サイバーセキュリティフォーラム アジリティとレジリエンスを備えた強固な経営基盤の実現」の特別講演1「freeeが見据える、サイバーセキュリティの未来」のアーカイブ配信です。

 情報を暗号化して身代金を要求するランサムウエア被害は、年々増加しています。2021年には、米国で大手パイプラインが攻撃を受けて1週間停止。440万ドルもの身代金を支払う事件も発生しました。こうした被害事例からは、事態の対応には技術領域だけでなく、法務部門、財務部門の関与が必要であり、サイバーセキュリティは経営上の重要事項だということが分かります。

 サイバーセキュリティ対策は、まず自社のリスクの洗い出しと対応の優先順位づけから始め、次にセキュリティポリシーなどルールによる統制を実施していきます。日頃からルールを策定・周知しておくことは企業としての責任を果たすという観点で重要であり、また抑止効果も得ることができます。セキュリティ対策を進める上ではサプライチェーン全体のサイバーセキュリティも考慮する必要があります。

 セキュリティ組織をつくるにあたっては、最終的にCSIRTの構築を目指すと良いと思います。CSIRTは既に多くの企業においてセキュリティ組織を構築する際に参照されたモデルであり、参考になる文献や事例が多いためです。また、セキュリティに関わるファンクションは多岐にわたるため自社に不足した技術・人材等は外部ベンダ等に支援を求めることも検討すべきです。ただし全てを丸投げではうまくいきません。というのも、専門領域を補うための外注は可能ですが、経営の根幹に関わるセキュリティポリシーの策定などは、社内文化を熟知する人が責任を持って担うべきだからです。

 2012年に創業したfreeeでは、CSIRT設立やCISO任命などのガバナンス強化に加え、プロダクトのセキュリティを担うPSIRTも社内に設立。今後はさらに、サイバーセキュリティを対外的に発信しながら業界をリードし、セキュリティを製品の付加価値にもつなげていくといった、先進フィンテック企業ならではの積極的な取り組みを進めています。

 本動画では、スモールビジネス向けの統合型クラウドERPを提供するfreee株式会社のCISO茂岩祐樹氏が、サイバーセキュリティの重要性、ルールの策定や組織編成のステップを分かりやすく解説しています。