DX推進とサイバーセキュリティ対策、双方に不可欠なのは「経営層のリーダーシップ」――東海大学 三角育生教授ITmedia エグゼクティブセミナーリポート(2/2 ページ)

» 2023年07月12日 07時07分 公開
[高橋睦美ITmedia]
前のページへ 1|2       

 三角氏はまた「リスクという言葉はしばしば日本語では『危険』と訳されがちです。しかし国際標準では『不確かさの影響』という意味合いであり、ポジティブな影響とネガティブな影響の両方の意味合いが含まれます。いろいろあるリスクの中で、サイバー関連の事象は一要因に過ぎません」とくぎを刺しつつも、DXの進展に伴ってサイバーリスクという要因の比重が大きくなっているのも事実だとした。

 従って、関連する事象の情報を収集し、何らかのインシデントが起こらないようにする事前の対策に加え、やむを得ず何かが起こったときの事後対策を通じて事業の「強靱さ」「レジリエンス」をいかに高めるかを検討しておくことが非常に重要だと説いた。

開発ライフサイクルにおいてもリスク管理の実践を

 こうしたリスクマネジメントの考え方は、システム開発ライフサイクルにおいても同様だ。開発時には、現場のIT技術者の目線でシステムレベルを確認するだけでなく、ビジネス、そして組織全体といった具合に各レイヤーでリスクマネジメントを検討する必要がある。

 その際に指針となるのはやはり、トップダウンで示される全体方針だ。それに沿ってブレイクダウンしていったさまざまなリスク管理策を実装するだけでなく、それらの対策が適切に回っているか、リスクが受容基準内に収まっているかをモニタリングし、コミュニケーションを通して改善していく一連のサイクルを回していくことが重要だと三角氏は説明した。

 実はこうしたポイントは、経済産業省に在籍していた当時、審査業務の電子化に携わった三角氏自身の経験からいえることだった。

 リーマンショックからの回復がみられた当時、輸出許可申請の数が増加する一方で、審査官は不足しており、残業しなければなかなかスケールしないという課題があった。申請に含まれる営業秘密など機微な情報を扱う以上、対策を講じても、システム障害による可用性の課題や機密性に関するリスクは残存するものである。しかし、トータルで考えた時、効率的に、高度な審査を進める方を選び、一定のリスクを選好して、電子申請とつながった電子審査システムが不可欠だと判断した。

 その際に重視したのは、設計段階からセキュリティを考慮する「セキュリティ・バイ・デザイン」、今のアプローチでいえば「DevSecOps」、という考え方だ。企画・設計から構築、デプロイ、運用というシステムライフサイクル全体にわたってセキュリティを考え、リスクマネジメントの仕組みを取り込んでいくものだ。

 これは、デジタル庁が公表する「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」というドキュメントに示されている。そして、ゼロトラストアーキテクチャ、スマートなクラウドのセキュリティ対策、インシデント発生の対応・情報提供体制といった要素にもつながっている。

 最後に三角氏は、サイバーセキュリティ対策とDXの両面におけるリーダーシップの重要性を、経営層自身にいかに理解してもらうかが課題だと念押しした。「北米では投資家がサイバーセキュリティ対策がしっかりできていることを会社に求めるといった考え方が浸透し、取締役会でも議論されています。一方、日本の場合には、なかなかそこまで理解が進んでいるところは多くないですし、通常、株主側からの要求も出てきません」(三角氏)

 そんな中で、どのように経営層の意識改革を進めるかだが、三角氏は1つの案として、経済産業省の「コーポレートガバナンス・コード」を補完する実務指針群を参照する方法を挙げた。具体的には「サイバーセキュリティ経営ガイドライン」や「グループ・ガバナンス・システムに関する実務指針」「サイバーセキュリティ経営可視化ツール」などだ。

 「最近新しいバージョンが公表されたサイバーセキュリティガイドライン3.0では、3つの原則が述べられています。原則1、経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要。原則2、サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要。原則3、としては、平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要、などが示されています。こういったガイドラインを理解し、実行に移してください」(三角氏)と講演を締めくくった。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia エグゼクティブのご案内

「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上

アドバイザリーボード

根来龍之

早稲田大学商学学術院教授

根来龍之

小尾敏夫

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

郡山史郎

株式会社CEAFOM 代表取締役社長

郡山史郎

西野弘

株式会社プロシード 代表取締役

西野弘

森田正隆

明治学院大学 経済学部准教授

森田正隆