Posted: 31 Mar. 2022 4 min. read

デジタルトラストを実現する「攻めと守りのサイバー」

第2回「CIO Next Gens Academy」開催レポート

デロイト トーマツ グループが主催する「CIOプログラム」の一環として、「CIO Next Gens Academy」を開催しました。当プログラムは、次世代のCIO候補となられる方をお招きし、近い将来取り組む事業課題の理解や気づきを得る、そして参加企業同士での新たなネットワーク構築を目的としています。今回はデロイト トーマツ グループのプロフェッショナルによるパネルディスカッションを30分、その後参加者同士のグループディスカッションを40分、これを2セッションそれぞれのテーマのもと行いました。

 

開催レポート

Session 1 「競争力の源泉としてのサイバー戦略」

パネリスト

モデレーターデロイト トーマツ サイバー 代表執行者 桐原 祐一郎

写真左から、西上、湯澤、泊、桐原
写真左から、西上、湯澤、泊、桐原
今求められるのはサイバーに対する”攻め”の姿勢

「どこにでもサイバーがある時代」に企業が求められるのは、サイバーに対する意識や取り組みの刷新です。冒頭「GREAT RESET」の言葉を用いて、刷新すべき4つの領域が示されました。「(1)仕方ないからやるのではなく、攻めの姿勢で取り組むこと、(2)IT担当に任せるのではなく、全社一丸で取り組むこと、(3)自社以外も含めたエコシステムの中で考えること、(4)攻撃、被害を受けることを前提にしたゼロトラストセキュリティへと移行すること、の4つです。」

GREAT RESET in Cyber
GREAT RESET in Cyber

 

次に、未来のビジネス環境およびサイバーの動向について、自動車業界を例に話を展開。「これからの自動車は、自動運転サポートや大型ディスプレイのコンテンツサービスなどを搭載したデジタルガジェットとも言えます。常にインターネットに接続している、これはつまり、常にサイバー攻撃の脅威に晒されていることと同義なのです。」

先日、ある企業では国内工場を1日停止する事案も発生しており、業界のサイバー被害は深刻化しています。もし自動車が乗っ取られることがあれば、人命に関わります。そこで業界全体の取り組みとして、2021年に一般社団法人Japan Automotive ISACを立ち上げ、サイバーセキュリティ情報を共有、分析し、レベルの底上げを図っていることが紹介されました。

話題はヘルスケア業界へと移ります。世界的なパンデミックを起点に、人々の健康への関心は一気に高まりました。デジタルを活用した非接触で健康を管理する流れがあり、やはりこちらにもサイバーの波は押し寄せています。

「ポイントは、サーバー攻撃を受けた際、被害者でもあり加害者にもなることを理解することです。ヘルスケア業界は特に安心・安全が重視されます。インシデント発生によるユーザーへの心理的影響は甚大です。」

競争力を維持するためにも、サイバー対応が多くの企業でトップアジェンダにくるのは間違いないと伝えられました。

その後、各企業がまず取り組むべきこととして、現状認識が挙げられました。デロイト トーマツ グループが有するフレームワークを示しながら、「戦略・ガバナンス」「業務・テクノロジー」の両面から、自社のサイバーセキュリティ能力の可視化から始めることの重要性が説かれました。

Session 2「サイバー攻撃に打ち勝つ組織作り」

パネリスト

モデレーターデロイト トーマツ サイバー 執行役員 岩本 高明

写真左から、古澤、佐藤、清水、内藤、岩本
写真左から、古澤、佐藤、清水、内藤、岩本

 

後半のセッションは、経済産業省が公開しているサイバーセキュリティ経営ガイドラインの内容紹介から始まりました。

全社的なサイバーケイパビリティが必要

企業がDXを進めるうえで求められるサイバーセキュリティ管理態勢の全体像として、職層を(1)経営層、(2)サイバー人材、(3)チェンジエージェント、(4)全社員の4層に分け、それぞれに求められるケイパビリティについて論じました。

経営層として具体的に意識したいのは、法的な解釈です。現在はサイバーインシデントで法的責任が問われる場面は少ないものの、今後は善管注意義務違反になったり、企業活動が停止した場合は債務不履行となったりする可能性もあるなど、注意を促しました。また経営者が取るべき基本的な行動として、責任者の任命、ポリシーや計画の承認、対策状況の把握・改善も併せて伝えられました。

次にサイバー人材の話として、インシデント発生前後の各フェーズによって、求められる専門性が違うことが指摘されます。例えば情報漏洩が起きてしまった際、物理的なシステム対応は当然IT部門の仕事ですが、社外への適切な発表は広報が、被害調査においては法務が担当するなど、各領域における深い専門性が必要となるのです。

サイバーセキュリティの導入においては、社内でどのような混乱や反発があるのかを想定し、先回りの対応をすることが重要。そのうえでチェンジエージェント、つまり各現場のリーダーが率先して行動し、グループとして変革を進めていくことが推奨されました。ただし、全社員が同じ温度感で理解を進めるのは困難であるため、中長期的な目標を設定した戦略的なコミュニケーションの必要性も伝えられました。

サイバー人材の調達についてまず示されたのは、人材をセキュリティスキルレベルと業務スキルレベルで4象限にして区切った図です(下図)。現状では、高い業務スキルが必要となる人材はインソース、それが低い場合はアウトソースとされているケースが多いようです。またSOC(Security Operation Center)では、アウトソースにおいてはより高度な攻撃を検知できることを重視すべきであるとしました。

サイバー人材のスキルレベルマップ
サイバー人材のスキルレベルマップ

 

最後に、インソースとアウトソースのハイブリッド「コ・マネージドSOC」を紹介。ひとつの分析システムを、平日の日中は自社で、夜間休日は外部ベンダーで対応するなど、高度人材の確保と育成双方の課題をうまく解決可能できる手法です。デロイト トーマツ グループでもこの仕組みを提供しており、各企業の力になることが可能です。

 

以上のように、デロイト トーマツ グループでは、サイバー戦略策定から戦略の実行、社内への浸透に向けた体制構築に至るまで、サイバー、インダストリー、ヒューマンキャピタル、ファイナンシャルアドバイザリー、法務等、各分野の専門家が結集し、総合的に企業の支援を行っていきます。

【問合せ先】デロイト トーマツ グループ CIOプログラム 事務局:cxoprogram.jp@tohmatsu.co.jp

プロフェッショナル

箱嶋 俊哉/Toshiya Hakoshima

箱嶋 俊哉/Toshiya Hakoshima

デロイト トーマツ コンサルティング 執行役員 Quality & Risk Management Leader

金融、公共、製薬業界を中心に、テクノロジーを軸としたコンサルティングサービスを担当。企業統合や基幹システム再構築などのグローバルおよび大規模プロジェクトに強みを持つ。 デロイト トーマツ グループとして提供するCXO Programの責任者も務める。 ITやリーダーシップに関する人材育成も得意としており、大学をはじめとする外部講演や執筆も多数手掛けている。主な著書に、「ITアーキテクトのためのシステム設計実践ガイド」(日経BP社)などがある。 関連するサービス・インダストリー ・エンタープライズテクノロジー・パフォーマンス ・CxO Agenda >> オンラインフォームよりお問い合わせ