Posted: 09 Apr. 2021 3 min. read

第18回:自社に適した戦略を策定

シリーズ:DX時代のサイバー対策

実効性のあるサイバーセキュリティー戦略を策定するにはどうすればよいか。そのポイントとなるアプローチを紹介する。

 

1つ目は、「環境分析」である。セキュリティー戦略を構築する上でまず重要なのは自社の置かれた状況(環境)を多角的に捉えることである。そのことで網羅的な要件の特定が可能になる。特に「ビジネス環境」「法規制環境」「脅威環境」はしっかり押さえておく必要がある。

 

「ビジネス環境」では、事業・働き方のデジタル化、それに伴い増加するサイバーの脅威を分析する。「法規制環境」では、自社の拠点のある国・地域や事業・製品に適用される法規制の動向・強制力などを分析する。「脅威環境」では、自社を狙う攻撃者動向や攻撃手法、自社が抱える脆弱性などを分析する。

 

これらの環境分析を通じて自社の立ち位置について関係者の間の認識をそろえることで、自社に求められるサイバーセキュリティーの要件を導き出すことが可能だ。

 

2つ目は、アセスメントによる自社ビジネスに必要なサイバー対応能力の見極めである。外部の専門家・会社も活用しながら、まず自社に求められるサイバー能力のレベルをあるべき姿として定義。そのうえで、不足しているものが何かを網羅的に検証することで、現状の問題点や今後必要となる施策を可視化できる。

 

3つ目は、ビジョン・ミッションの定義と、それを実現するための在るべき管理体制の構築である。ここでは領域と階層を意識した整理が重要となる。領域では、「IT環境」「製品・サービス」「生産現場」のどこまでを対象とするか。また、経営層、管理者層、実務者層など業務層別にどこまでを整理していくかを十分考慮した上で検討することが、多層的で抜け漏れのない、中長期にわたり持続・発展可能な組織の実現を可能とすると考える。

 

その際には経営層(本社)と事業部門の間で、サイバーセキュリティーの業務をどう役割分担するかの検討も必要だ。

 

事業戦略などと同様、セキュリティー戦略は画一的なものではなく、自社に適した内容にすることが欠かせない。これらの3つのポイントを押さえることで、企業の歴史や社風、ビジネス内容など自社の特性に応じたサイバーセキュリティー戦略の策定につながる。

 

サイバーセキュリティーが確立できていなければ、あらゆるモノがネットにつながるデジタル社会で新たなビジネスに乗り出す際に、及び腰になってしまう。セキュリティー戦略に自信があれば、それを土台として、組織は安心して、未来に向けたビジネス創造や価値の提供に集中できる。それを実行に移すか移さないかは、経営者の決断力次第だ。

※クリックかタップで拡大画像をご覧いただけます

 

本稿は2021年1月20日に日経産業新聞に掲載された「戦略フォーサイト:DX時代のサイバー対策(19)自社に適した戦略を策定」を一部改訂したものです。

D-NNOVATIONスペシャルサイト

社会課題の解決に向けたプロフェッショナルたちの物語や視点を発信しています

プロフェッショナル

岩本 高明/Takaaki Iwamoto

岩本 高明/Takaaki Iwamoto

デロイト トーマツ サイバー合同会社 マネージングディレクター

大手インテグレーター、戦略系コンサルファームを経て現職。企業に対するサイバーセキュリティ戦略立案、リスク分析・対応方針立案等の業務を歴任。CISO等の経営アジェンダを広くカバーする一方、技術対策までサイバー全体に一貫整合した経験を有する。