・まず小さな話であるが、個人的にはどうしているか。リモート時代に、会社オフィスを別に保有する必要がないので、マンションオフィスは3年前に売却した。本宅の書斎がオフィスである。自宅のWi-Fiとは別に、会社用のWi-Fiを置いている。

・VPN（Virtual Private Network:仮想の専用回線）として、Check Point社のVPN機器を入れてある。デスクトップPCは2台並べて、1台ダウンしても対応できるようにしている。各々にHDDをつけて、データの保存にも心がけている。

・ノートPC、タブレット、スマホは、どれでも同じメールが見れて、やりとりができるが、仕事に関する重要な情報発信は、1つのデスクトップに限っている。この1台ですべてやり取りして記録している。状況が一括で把握できるからである。当然バックアップはとっている。

・知らない人、知らないメール、不審なメール、不要な電話には一切関わらない。開かない、出ない、対応しない、という方針である。大事な連絡は、メールの本文にヒントがあり、留守録が入っている。そこがスタートである。

・インサイダー情報に関わるコンテンツ、お金の出し入れに関わる情報については、よほど信頼できるものでない限り、ネットは使わない。個人情報に関わる内容もほとんど取り扱わない。仕事の性格上、それで済む。特に不都合はなく、先方の企業に何かネガティブな影響を与えたこともない。

・世のセキュリティは万全であろうか。1）情報へのアクセス、2）情報の確保、3）情報の利用が適切にできて、誰にも邪魔されないことが重要である。認められた者だけがアクセスできる機密性、情報が改ざんされていない安全性、必要な時にきちんと利用できるアベイラビリティ(可用性)がセキュリティの基本である。

・そのためには、①認証技術、アクセス制御、暗号化技術、②デジタル署名、アクセス履歴管理、③システムの多重化、クラウド化などが必要になる。セキュリティの3要素（機密性、安全性、可用性）に加えて、なりすましを防止する真正性や、動作や動作主を特定して追跡できる責任追跡性も問われる。これを担う技術開発も進んでいる。

・しかし、どんな暗号化技術もいずれ解読されてしまうかもしれない。通常のレベル、高度なレベルのセキュリティを多重に用意しても、悪意をもったプロにターゲットにされるとかなり危うい。量子計算が実用化されると、現在のセキュリティはみな破られてしまいそうである。量子コンピュータ用の暗号化もこれから開発されよう。

・マーシュ・マクレナン（NY上場）の日本法人であるマーシュジャパンの話を聞く機会があった。佐藤徳之氏はサイバーセキュリティの専門家である。企業のサイバーセキュリティはいかに守るのか。

・リスクマネジメントは、それがうまくいっている時には目立たない。何も起きなくて当たり前と受け止められる。ところが一旦事件、事故が起きると、なぜそれが防げなかったのかと大騒ぎになる。いくつかの偶然が重なって、被害が大きくなってしまうこともある。

・サイバーリスクマネジメントは、企業の中でうまく機能しているか。通常外からは分からない。でも、どのような体制をとっているかは知りたいところである。

・マーシュのデータをみると、サイバークレームの数は世界的に年々増えている。サイバー攻撃は社内のシステムに突然侵入してくる。まずは密かに入って、住み着く。次にほしい情報を抜いていく。

・その上で、そのシステムが動かないようにして、もとに戻してほしかったら、金を出せと脅す。あるいは、引き出した情報を他に売ってお金に換える。または、盗んだ情報を使って、お金を直接引き出してしまう。これを組織的に行うハッカーが横行している。

・システムが動かなくなったら、業務に支障が出る。コアとなるデータが使えなくなったら致命的である。情報が流出したら、大問題となる。お金が抜き取られたら損害は大きい。

・では、脅しに乗って、要求された金額を支払うのか。ランサム（身代金）を払う企業が一定程度いる。その方が、打撃が少なく、手間もかからない。でも、それでよいのか。ランサムを払ったら、犯罪に手を貸していることになる。自己都合でこっそり終わらせようという姿勢が問われる。何度もたかられて、カモにされてしまいかねない。

・保険に入っていれば、サイバー攻撃の被害をカバーすることができる。入っていた方がよいが、これにも一定の限度があろう。守ろうとするほど保険料は上がってくる。

・どのようにサイバー攻撃から組織を守るか。本当に狙われたら、サイバーセキュリティは破られてしまうと考えた方がよい。その上で、守る方策を打っていく。1）システムとしての対応、2）人的訓練としての対応、3）現場の部分的対応から全社の総合的対応へのシフト、4）サイバーBCPの実効、5）緊急時の防衛体制の発動などを準備しておく必要がある。

・大企業はもちろん、中堅・中小企業においてもサイバーセキュリティ、データプライバシーの確保は重大な事項となっている。AIの普及によって、そのレベルは一段と上がってこよう。

・日本でもランサムウェア（システム凍結による身代金要求）は増えている。攻撃はどこから入ってくるのか。VPN機器、リモートデスクトップ、添付ファイル、不審メールなどさまざまである。静かにすっと入ってくる。うっかり乗ってしまう場合もある。

・組織の内部にいる者が、情報を持ち出して、それを不正に現金化する例もある。こうなると、外部からの侵入ではなく、内部者の犯行であるから始末が悪い。内部の仕組みも、1人で不正ができないように一段と工夫しておく必要がある。

・マーシュジャパンの佐藤氏は、M&Aに際して、サイバーセキュリティのDD（デューデリジェンス）が重要になっていると指摘する。データドリブン経営の時代である。社内のデータは真にクリーンで守られているか。ここを堅牢にしないと、企業価値を棄損してしまう。Cyber DDの役割は一段と高まろう。

・企業の価値創造の仕組みであるビジネスモデルに、サイバーリスクマネジメントがどこまで組み込まれているか。1）サイバーリスクを見える化して、2）サイバーインシデントが発生した時の対応策、復旧策を十分検討しておくことに着目したい。企業との対話においても、この点に力を入れて価値評価に結び付けたい。