DX推進とサイバーセキュリティ対策、双方に不可欠なのは「経営層のリーダーシップ」――東海大学 三角育生教授:ITmedia エグゼクティブセミナーリポート(2/2 ページ)
DXへの取り組みを支え、ビジネスの中核をなすのがデジタル技術やデータ。もしここに障害があれば、業務が立ちゆかなくなる。DXが進めば進むほど、比例してサイバーセキュリティ観点のリスク対策も欠かせない。
三角氏はまた「リスクという言葉はしばしば日本語では『危険』と訳されがちです。しかし国際標準では『不確かさの影響』という意味合いであり、ポジティブな影響とネガティブな影響の両方の意味合いが含まれます。いろいろあるリスクの中で、サイバー関連の事象は一要因に過ぎません」とくぎを刺しつつも、DXの進展に伴ってサイバーリスクという要因の比重が大きくなっているのも事実だとした。
従って、関連する事象の情報を収集し、何らかのインシデントが起こらないようにする事前の対策に加え、やむを得ず何かが起こったときの事後対策を通じて事業の「強靱さ」「レジリエンス」をいかに高めるかを検討しておくことが非常に重要だと説いた。
開発ライフサイクルにおいてもリスク管理の実践を
こうしたリスクマネジメントの考え方は、システム開発ライフサイクルにおいても同様だ。開発時には、現場のIT技術者の目線でシステムレベルを確認するだけでなく、ビジネス、そして組織全体といった具合に各レイヤーでリスクマネジメントを検討する必要がある。
その際に指針となるのはやはり、トップダウンで示される全体方針だ。それに沿ってブレイクダウンしていったさまざまなリスク管理策を実装するだけでなく、それらの対策が適切に回っているか、リスクが受容基準内に収まっているかをモニタリングし、コミュニケーションを通して改善していく一連のサイクルを回していくことが重要だと三角氏は説明した。
実はこうしたポイントは、経済産業省に在籍していた当時、審査業務の電子化に携わった三角氏自身の経験からいえることだった。
リーマンショックからの回復がみられた当時、輸出許可申請の数が増加する一方で、審査官は不足しており、残業しなければなかなかスケールしないという課題があった。申請に含まれる営業秘密など機微な情報を扱う以上、対策を講じても、システム障害による可用性の課題や機密性に関するリスクは残存するものである。しかし、トータルで考えた時、効率的に、高度な審査を進める方を選び、一定のリスクを選好して、電子申請とつながった電子審査システムが不可欠だと判断した。
その際に重視したのは、設計段階からセキュリティを考慮する「セキュリティ・バイ・デザイン」、今のアプローチでいえば「DevSecOps」、という考え方だ。企画・設計から構築、デプロイ、運用というシステムライフサイクル全体にわたってセキュリティを考え、リスクマネジメントの仕組みを取り込んでいくものだ。
これは、デジタル庁が公表する「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」というドキュメントに示されている。そして、ゼロトラストアーキテクチャ、スマートなクラウドのセキュリティ対策、インシデント発生の対応・情報提供体制といった要素にもつながっている。
最後に三角氏は、サイバーセキュリティ対策とDXの両面におけるリーダーシップの重要性を、経営層自身にいかに理解してもらうかが課題だと念押しした。「北米では投資家がサイバーセキュリティ対策がしっかりできていることを会社に求めるといった考え方が浸透し、取締役会でも議論されています。一方、日本の場合には、なかなかそこまで理解が進んでいるところは多くないですし、通常、株主側からの要求も出てきません」(三角氏)
そんな中で、どのように経営層の意識改革を進めるかだが、三角氏は1つの案として、経済産業省の「コーポレートガバナンス・コード」を補完する実務指針群を参照する方法を挙げた。具体的には「サイバーセキュリティ経営ガイドライン」や「グループ・ガバナンス・システムに関する実務指針」「サイバーセキュリティ経営可視化ツール」などだ。
「最近新しいバージョンが公表されたサイバーセキュリティガイドライン3.0では、3つの原則が述べられています。原則1、経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要。原則2、サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要。原則3、としては、平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要、などが示されています。こういったガイドラインを理解し、実行に移してください」(三角氏)と講演を締めくくった。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 「サプライチェーン」を人質に取るようになったランサム攻撃 ――ラックの西本氏が語る、万一への備え
- スタートアップと金融機関、2つの側面を持つbitbankのセキュリティ対策とは? ――ビットバンク 橋本健治氏
- 経営と現場の板挟みになりがちなガバナンス、優先してやるべきことを明確に――リクルート 鴨志田昭輝氏
- 調査結果が明らかにした日本企業のCISO不在。リスクを見せる化し、経営視点を取り入れながらコミュニケーションすることで改善を――NRIセキュアテクノロジーズ 足立道拡
- セキュリティ担当者が夜しっかり眠れる運用体制とは?――守りのDXで攻めのDXを支えるアステラス製薬の取り組み
- 独自の観測結果から見えてきたランサムの今と、対策のポイント――SBテクノロジー 辻伸弘氏
- 脅威環境の変化を把握し、網羅的・体系的なアセスメントを通じて自社の弱点を発見・改善していくサイバーセキュリティリスク管理が重要――東京海上日動火災保険 黒山康治氏
- ハイブリッド戦争は日本にとっても他人ごとではない――慶應義塾大学 廣瀬陽子教授
- 「今日からセキュリティ担当、よろしくね」と言われたら、何から始める? 何を重視する?――freee CISO 茂岩祐樹氏
- コロナ禍やウクライナ侵攻を背景に混迷深めるサイバー情勢、経営層に必要なのは「現場丸投げ」からの脱却――サイバーディフェンス研究所 名和利男氏
- ウイズコロナ時代のサイバーセキュリティ、完璧を目指すより実践的で高い費用対効果を追求すべき――情報通信研究機構 伊東寛氏