第18回：自社に適した戦略を策定

1つ目は、「環境分析」である。セキュリティー戦略を構築する上でまず重要なのは自社の置かれた状況（環境）を多角的に捉えることである。そのことで網羅的な要件の特定が可能になる。特に「ビジネス環境」「法規制環境」「脅威環境」はしっかり押さえておく必要がある。

「ビジネス環境」では、事業・働き方のデジタル化、それに伴い増加するサイバーの脅威を分析する。「法規制環境」では、自社の拠点のある国・地域や事業・製品に適用される法規制の動向・強制力などを分析する。「脅威環境」では、自社を狙う攻撃者動向や攻撃手法、自社が抱える脆弱性などを分析する。

これらの環境分析を通じて自社の立ち位置について関係者の間の認識をそろえることで、自社に求められるサイバーセキュリティーの要件を導き出すことが可能だ。

2つ目は、アセスメントによる自社ビジネスに必要なサイバー対応能力の見極めである。外部の専門家・会社も活用しながら、まず自社に求められるサイバー能力のレベルをあるべき姿として定義。そのうえで、不足しているものが何かを網羅的に検証することで、現状の問題点や今後必要となる施策を可視化できる。

3つ目は、ビジョン・ミッションの定義と、それを実現するための在るべき管理体制の構築である。ここでは領域と階層を意識した整理が重要となる。領域では、「IT環境」「製品・サービス」「生産現場」のどこまでを対象とするか。また、経営層、管理者層、実務者層など業務層別にどこまでを整理していくかを十分考慮した上で検討することが、多層的で抜け漏れのない、中長期にわたり持続・発展可能な組織の実現を可能とすると考える。

その際には経営層（本社）と事業部門の間で、サイバーセキュリティーの業務をどう役割分担するかの検討も必要だ。

事業戦略などと同様、セキュリティー戦略は画一的なものではなく、自社に適した内容にすることが欠かせない。これらの3つのポイントを押さえることで、企業の歴史や社風、ビジネス内容など自社の特性に応じたサイバーセキュリティー戦略の策定につながる。

サイバーセキュリティーが確立できていなければ、あらゆるモノがネットにつながるデジタル社会で新たなビジネスに乗り出す際に、及び腰になってしまう。セキュリティー戦略に自信があれば、それを土台として、組織は安心して、未来に向けたビジネス創造や価値の提供に集中できる。それを実行に移すか移さないかは、経営者の決断力次第だ。

本稿は2021年1月20日に日経産業新聞に掲載された「戦略フォーサイト：DX時代のサイバー対策（19）自社に適した戦略を策定」を一部改訂したものです。

【シリーズ】DX時代のサイバー対策

>>第1回：サイバー対策は商品力や企業力に直結
>>第2回：外部環境の変化を読み解く
>>第3回：社内守るだけでは守れず
>>第4回：各国政府、厳しい調達基準
>>第5回：安全対策、義務化の製品も
>>第6回：個人情報規制、世界で強化（戦略フォーサイト）
>>第7回：クラウド、業者任せは不可（戦略フォーサイト）
>>第8回：新世代対策ツールが台頭（戦略フォーサイト）
>>第9回：企業ごとの対応では限界（戦略フォーサイト）
>>第10回：テレワークで高まるリスク（戦略フォーサイト）
>>第11回：闇の世界もITで悪賢く
>>第12回：消費者の懸念にも配慮（戦略フォーサイト）
>>第13回：未知の脅威にAIで対抗（戦略フォーサイト）
>>第14回：社内も信頼せず、守り固く（戦略フォーサイト）
>>第15回：人材不足、自動化で克服（戦略フォーサイト）
>>第16回：トップダウンで取り組む（戦略フォーサイト）
>>第17回：事業活動に必須な投資（戦略フォーサイト）

> D-nnovation Perspectives その他の記事はこちら