調査結果が明らかにした日本企業のCISO不在。リスクを見せる化し、経営視点を取り入れながらコミュニケーションすることで改善を――NRIセキュアテクノロジーズ 足立道拡氏：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

日本企業のサイバーセキュリティ体制は、欧米諸国と比べてどのような状況にあるのか。そしてどのような指針に基づいて改善していくべきなのか。

[高橋睦美，ITmedia]

　「CISOが設置されていないと経営者とのコミュニケーションが進まず、セキュリティ対策の必要性も理解されません。それゆえに予算も確保できず、ゼロトラストセキュリティの実装率が下がる側面が伺えます。またCISO未設置のためにセキュリティ担当者がその一部を代替し、セキュリティ担当者が企画と実行を兼務せざるを得ない状況が、人材不足をさらに後押ししていると考えられます」（足立氏）

　さまざまなセキュリティ担当者と会話する中でも、こうした状況は明らかだという。「多くの担当者が、セキュリティ予算の獲得が最大の課題だと言っていますが、経営者の役割は、ヒト、モノ、カネ、情報という4大経営資源を適切に配分することです。アンケート結果は人材の不足、CISOの不在、対策の遅れ、予算の不足を示唆しています」と足立氏は警鐘を鳴らした。

4つのポイントを踏まえ、経営者に対するリスクの見せる化と予算獲得を

　こうした状況を打開するには、リスクを経営者に対して「見せる化」し、その上で「セキュリティ予算の妥当性を示す」「限られた予算で適切な対策を選定する」、そして「予算増額に向けて、経営層に刺さる決裁資料を作っていく」といった手を打つことがポイントになる。

　さらに足立氏は、「セキュリティ予算獲得の成否は、相手視点のコミュニケーションができるか否かに依存しています」と指摘した。

　往々にして現場のセキュリティ担当者は、現状の課題や法規制、インシデントに関するニュースなどを踏まえて対策実施案を作成し、セキュリティ予算を申請する。一方経営者側は、「この対策にはどのくらい意味があるのか」「同業他社はどの程度対応しているのか」といった視点で検討する。従ってセキュリティ予算を獲得するには、経営視点を取り入れながらコミュニケーションを取り、経営者に「自分事」として捉えてもらうことが重要だ。

　その際のポイントは4つあるという。

　1つ目は、経営層が気にする「同業他社」を引き合いにした説明を行うことだ。今回の調査でも、米豪の企業では、セキュリティ対策を実施した理由の一位が「経営のトップダウン」だったのに対し、日本企業で最も多かったのは「他社で発生したセキュリティインシデント」だった。要するに「よそはどうしているのか？」が気になるというわけだ。従って「同業界、同規模の企業はすでに実施している」と訴えることで、対策の必要性を意識してもらいやすくなるという。そしてそのために、日頃から企業や組織の垣根を越えたリレーションシップを構築し、同業他社の動向や情報を手に入れることも重要だ。

　2つ目のポイントは、対策の必要性を「権威付け」して訴えることだ。具体的には、セキュリティ関連ガイドラインと照らし合わせた評価結果や外部の専門家の意見を取り入れ、セキュリティ対策の「箔付け」を行うことが有効だという。日本企業では自組織・自グループで作成したガイドラインを使うケースが多いが、グローバル展開を見据えると、CMMC（サイバーセキュリティ成熟度モデル認証）やNIST SP800-171といったスタンダードが重視されていくだろう。

　3つ目のポイントは、自社起因で発生したインシデントの影響が、委託元やグループ全体に波及する可能性を伝えることだ。昨今、「サプライチェーンリスク」が叫ばれるようになり、現に最新の10大脅威でも2位にランクインするほど重要度が高まっている。自社で発生したランサムウェア感染などのインシデントが委託元やグループ全体に波及して業務を停止させ、サプライチェーン全体に迷惑をかけてしまう恐れがあること、またセキュリティ要件を満たさなければ、将来的にはサプライチェーンから除外される恐れがあることなどを伝え、経営層に将来を先回りした危機感を持ってもらうことが重要だ。

　そして4つ目のポイントは、セキュリティ対策の必要性を複数の視点で伝え、対応優先度を高めてもらうことだ。具体的には「内部統制」「業務の継続性」などだ。サイバーセキュリティ経営ガイドラインでは、「サイバーセキュリティは経営者の責務」と明記されており、平時からしっかりセキュリティ対策に向き合っているかが問われることになる。これまでのいろいろな企業の経営者と会う中で「弊社には盗まれる情報はないので大丈夫」といわれたこともあるが、これからは情報漏えいの観点だけではなく、業務停止といった観点でセキュリティリスクを多角的に捉える必要性を実際の他社被害事例を用いて、伝えることが重要だ。

　もう1つ、経営層と良質なコミュニケーションを取るポイントは、財務諸表などの観点を取り込み、経営者目線で数字を扱うことだ。これまでのセキュリティは、特別損失を発生させるリスクなど、ダウンサイドやマイナスの影響を指標とすることが多かった。

　しかし「昨今のDXの流れの中で、ITは単なる情報システムではなく、ビジネスの基盤として、売り上げや利益と言った経営指標を作り出すものと考えられています」と足立氏は言う。セキュリティも同様に、ビジネス基盤の構成要素という視点で捉え直すことが欠かせない。例えば、効果が期待しにくい古いセキュリティ対策を続けることは、リソースの有効活用を妨げ、固定費増につながり、損益分岐点を上げることにつながる。新しいセキュリティ対策を活用することで、新規ビジネスのサービスインを早めるなど、ROI（投資利益率）を上げることなる、といったアップサイド、ポジティブな観点を入れていくことも大事だとした。

　そして、セキュリティリスクを見せる化し、経営層とコミュニケーションを取る上では、セキュリティリスクの特定・分析・必要な費用の算出と報告による合意の獲得といった工程を自動化し、継続的に実施していくため、NRIセキュアが提供している、企業のセキュリティ対策状況を可視化するWebサービス「Secure SketCH（セキュア スケッチ）」のような外部のサービスをうまく活用することも効果的な手段だとした。