DX推進とサイバーセキュリティ対策、双方に不可欠なのは「経営層のリーダーシップ」――東海大学 三角育生教授：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

DXへの取り組みを支え、ビジネスの中核をなすのがデジタル技術やデータ。もしここに障害があれば、業務が立ちゆかなくなる。DXが進めば進むほど、比例してサイバーセキュリティ観点のリスク対策も欠かせない。

[高橋睦美，ITmedia]

　国内でインターネット接続が普及し、サイバーセキュリティに関する問題が顕在化し始めた当時から、情報処理推進機構（IPA）セキュリティセンターや内閣官房内閣サイバーセキュリティセンター（NISC）で長年にわたってセキュリティ関連の政策に携わってきた三角育生氏は、今、東海大学情報通信学部長教授として後進の育成に当たっている。

　その同氏が「進む企業のデジタル変革経営・ビジネスリスクとしてのサイバーセキュリティ」と題し、デジタルトランスフォーメーション（DX）とサイバーセキュリティの関係と、リーダーシップの重要性を軸に講演を行った。

DXとサイバーセキュリティの双方に欠かせない経営層のリーダーシップ

　今、社会のさまざまな場所でDXの取り組みが進んでいる。「DXとは単なるデジタル化、IT化ではありません。いかに自らの組織や企業、ビジネスそのものにイノベーションを起こし、新しい価値や文化を創造していくかの取り組みだと考えるべきでしょう」（三角氏）

東海大学情報通信学部長教授 三角育生氏

　この取り組みを支え、ビジネスの中核をなすのがデジタル技術やデータとなる。「もしここに障害があれば、業務が立ちゆかなくなります。従ってDXが進めば進むほど、比例してサイバーセキュリティ観点のリスク対策も欠かせません」と三角氏は指摘した。

　そしてDXとサイバーセキュリティの推進、いずれにおいても欠かせないのが経営層のリーダーシップだ。

　三角氏は、経済産業省がデジタルガバナンスの達成度を測る指標としてまとめた「デジタルガバナンス・コード」を取り上げ、その中で、「サイバーセキュリティリスクなどに対しても適切に対応を行うべき」と明示されていることに触れた。このコードでは、CISOなどの責任者を任命して管理体制を構築するとともに、対策のためのリソースを確保すべきことも明示されている。

　一方で日本情報システムユーザー協会（JUAS）の調査によると、DX推進の前には「人材・スキル不足」「戦略不足」といった問題が立ちはだかっている。「結局、戦略的にDXを進め、情報セキュリティ対策を進めていくための人材が足りないことが明らかになっています」（三角氏）

　こうしたDXを巡る状況を整理した上で、三角氏はあらためて、なぜデジタル化、DXにおいてセキュリティが重要なのかを説明した。

　分かりやすい例が医療分野だ。新型コロナウイルス感染症の影響もあり、この数年間で医療のオンライン化を目指す動きが広がった。といってもすぐにシステムを用意するのは困難だ。そこでクラウドサービスなどを活用した新たなビジネスが生まれている。

　「ただ、そういった中では患者さんの医療情報を扱うことになります。ビジネスをスケールさせながら個人情報の機密性をどう確保するかが問われ、そのためにアクセス制御などが重要になります。また医療サービスは必要な時に常に使えなければならず、事業継続も考える必要があります。これはまさにサイバーセキュリティの課題そのものです」（三角氏）

　さて、経済産業省の「DXレポート 2.2」では、デジタルで収益向上を達成するために必要な事柄として、DXはトップダウンで一斉に進めるべきであり、トップが行動指針を示す必要があること、グローバルな事例を参考にし、データで見える化するとともに、組織や業務を横断してデータを共有・活用すべきであること、といった項目が示されている。これらはサイバーセキュリティでも同様である。

　「サイバーセキュリティもトップダウンで進めていかなければなりませんし、行動指針を示すことも重要です。またセキュリティはグローバルな問題であり、状況を見える化し、継続していかなければいけません。さらに取り組み状況をステークホルダーに認識してもらうために情報発信していく必要もある、といった具合に、サイバーセキュリティもDXも非常に似た取組みの傾向があります」（三角氏）

　三角氏はさらに、DX推進においては経営層がリーダーシップを発揮し、ミッション、ビジョン、バリューを明確にすることが重要であるとした上で、サイバーセキュリティ対策の大前提となるリスク判断を下す際には、自分たちのミッションやビジョンがはっきりしていなければならないと説明。従って自分たちのミッションやビジョンを阻害し、達成できなくなるリスクの要因の1つとして、サイバーセキュリティの問題があると整理した。

機密性だけでなく、事業継続を支える可用性にも目を

　サイバーセキュリティの三要素は機密性、完全性、可用性といわれる。そして日本の企業や組織は得てして、情報漏洩対策としての機密性を重視しがちだ。だが三角氏は「DXを推進し、デジタル技術を事業のコアとして活用する際、事業が途絶してしまうと非常に大きな不利益になります。ですから事業継続の観点も忘れてはいけません」と指摘した。

　また、機密性を重視するあまりにガチガチに守りを固め、必要以上の水準のセキュリティ対策を実施してしまうと、ユーザーエクスペリエンス、ひいては顧客満足度の低下につながる恐れもある。従ってリスクと利便性のバランスを考えながら、組織全体のリスクマネジメントを検討していくことも不可欠だとした。

　その際にはやはりトップが現状を理解した上でどこを目指すのか、誰が責任を持って推進するのかといった事柄を決め、投資との兼ね合いも検討しながら、どこまでリスクを取り、どこからは受容できないのかといった基準を定め、バランスを考えなくてはならない。

　続けて三角氏は、企業の事業継続を確保するためにどういった観点が必要かを説明した。

　例えば政府のサイバーセキュリティ戦略本部がまとめた「重要インフラのサイバーセキュリティに係る行動計画」においては、安定・安全な事業継続に影響を与える事象として、自然災害やIT障害、サプライチェーンの問題と並んでサイバー攻撃が挙げられている。そして自らのミッションを達成するためにサービスを提供する、そのためにリスクを許容範囲内に抑えてレジリエンシーを高めていくことが重要であるとされている。

　今まさに事業継続に大きな影響を与えている事象と言えば、やはりランサムウェアだろう。国内外で、業種・規模を問わずさまざまな企業・組織がランサムウェアによる攻撃を受け、中には医療行為を縮退せざるを得なくなる事態まで起こった。その後もランサムウェアの被害はますます増加し、また、単にファイルを暗号化して使えなくするだけでなく、それを盗み出して世の中に公開すると脅す二重脅迫型のランサムウェアも現れている。

　三角氏はこうした事態に対し、「NISCやアメリカの国土安全保障省（DHS）の下にあるCISAから出されている対策情報にあるとおり、バックアップや多要素認証といった対策が重要になってくるでしょう」と述べた。

　さらに「経営リスクを考えるに当たって、情勢や、なぜこういった事態が起こるのか、どんなことが起きてそのリスクは何なのかについて、経営層も理解しなくてはなりません」と指摘した。

　もちろん経営者が技術的な詳細まで立ち入る必要はない。だが、例えば「ランサムウェアは、標的型攻撃でよく用いられるスピアフィッシングの手法を用いて入ってくるため、内部に入られてしまうことを前提にしたリスク対策が欠かせない」といった具合に簡単なメカニズムを理解し、自分たちの事業にどんな影響が起こるのかを知っておく必要がある。さらにそれをビジョンやミッションと照らし合わせ、自社を取り巻く法的な義務や国際情勢などにも目を向けた上で対策を検討すべきだとした。