DX推進とサイバーセキュリティ対策、双方に不可欠なのは「経営層のリーダーシップ」――東海大学 三角育生教授：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

[高橋睦美，ITmedia]

　三角氏はまた「リスクという言葉はしばしば日本語では『危険』と訳されがちです。しかし国際標準では『不確かさの影響』という意味合いであり、ポジティブな影響とネガティブな影響の両方の意味合いが含まれます。いろいろあるリスクの中で、サイバー関連の事象は一要因に過ぎません」とくぎを刺しつつも、DXの進展に伴ってサイバーリスクという要因の比重が大きくなっているのも事実だとした。

　従って、関連する事象の情報を収集し、何らかのインシデントが起こらないようにする事前の対策に加え、やむを得ず何かが起こったときの事後対策を通じて事業の「強靱さ」「レジリエンス」をいかに高めるかを検討しておくことが非常に重要だと説いた。

開発ライフサイクルにおいてもリスク管理の実践を

　こうしたリスクマネジメントの考え方は、システム開発ライフサイクルにおいても同様だ。開発時には、現場のIT技術者の目線でシステムレベルを確認するだけでなく、ビジネス、そして組織全体といった具合に各レイヤーでリスクマネジメントを検討する必要がある。

　その際に指針となるのはやはり、トップダウンで示される全体方針だ。それに沿ってブレイクダウンしていったさまざまなリスク管理策を実装するだけでなく、それらの対策が適切に回っているか、リスクが受容基準内に収まっているかをモニタリングし、コミュニケーションを通して改善していく一連のサイクルを回していくことが重要だと三角氏は説明した。

　実はこうしたポイントは、経済産業省に在籍していた当時、審査業務の電子化に携わった三角氏自身の経験からいえることだった。

　リーマンショックからの回復がみられた当時、輸出許可申請の数が増加する一方で、審査官は不足しており、残業しなければなかなかスケールしないという課題があった。申請に含まれる営業秘密など機微な情報を扱う以上、対策を講じても、システム障害による可用性の課題や機密性に関するリスクは残存するものである。しかし、トータルで考えた時、効率的に、高度な審査を進める方を選び、一定のリスクを選好して、電子申請とつながった電子審査システムが不可欠だと判断した。

　その際に重視したのは、設計段階からセキュリティを考慮する「セキュリティ・バイ・デザイン」、今のアプローチでいえば「DevSecOps」、という考え方だ。企画・設計から構築、デプロイ、運用というシステムライフサイクル全体にわたってセキュリティを考え、リスクマネジメントの仕組みを取り込んでいくものだ。

　これは、デジタル庁が公表する「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」というドキュメントに示されている。そして、ゼロトラストアーキテクチャ、スマートなクラウドのセキュリティ対策、インシデント発生の対応・情報提供体制といった要素にもつながっている。

　最後に三角氏は、サイバーセキュリティ対策とDXの両面におけるリーダーシップの重要性を、経営層自身にいかに理解してもらうかが課題だと念押しした。「北米では投資家がサイバーセキュリティ対策がしっかりできていることを会社に求めるといった考え方が浸透し、取締役会でも議論されています。一方、日本の場合には、なかなかそこまで理解が進んでいるところは多くないですし、通常、株主側からの要求も出てきません」（三角氏）

　そんな中で、どのように経営層の意識改革を進めるかだが、三角氏は1つの案として、経済産業省の「コーポレートガバナンス・コード」を補完する実務指針群を参照する方法を挙げた。具体的には「サイバーセキュリティ経営ガイドライン」や「グループ・ガバナンス・システムに関する実務指針」「サイバーセキュリティ経営可視化ツール」などだ。

　「最近新しいバージョンが公表されたサイバーセキュリティガイドライン3.0では、3つの原則が述べられています。原則1、経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要。原則2、サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要。原則3、としては、平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要、などが示されています。こういったガイドラインを理解し、実行に移してください」（三角氏）と講演を締めくくった。