経営品質の向上をもたらす
「攻めの投資」としての
サイバー戦略

サイバーセキュアな社会の実現に向けて

2019年12月12日、産学官による国際会議「Cyber Initiative Tokyo 2019」が虎ノ門ヒルズフォーラムで開催された。深刻化するサイバーリスクの実情を踏まえ、国家安全保障、2020年の大規模国際イベントの防衛といった国家的な課題が共有された。また、新時代の企業経営、ビジネス思考について、クラウドやAI、IoT、次世代通信規格「5G」、キャッシュレス決済といったテクノロジーの側面から掘り下げた議論も展開された。マクロ・ミクロの観点で会議が進む中、デロイト トーマツ サイバーのチーフ ストラテジー オフィサー (CSO) 桐原祐一郎が登壇。経営アジェンダとしてのサイバーセキュリティの重要性、日系企業に求められる競争力の源泉獲得に向けたサイバー戦略について提言した。

桐原 祐一郎 / デロイト トーマツ サイバー合同会社 CSO 兼 デロイト トーマツ コンサルティング合同会社 パートナー

桐原は、製造業、特に重工業、重電メーカー、官公庁に対して戦略立案、新規事業開発、M&A、業務組織改革、サイバーセキュリティ、IT構想などに幅広く従事。デロイト トーマツ サイバー起ち上げに参画し、CSOに就任。

日々高度化・広範囲化サイバー攻撃の被害による経済的な損失は無視できないものになりつつある。サイバー戦略やサイバーセキュリティ対策の重要性は高まる一方だ。他方、デジタル化の進展に伴って情報の流通が加速度的に広がる中、各産業・ビジネスは奔流の真っただ中にある。デジタルトランスフォーメーションという旗印の下、製造業や金融、インフラ、医療などあらゆる産業が、かつてない変革期を迎えているのだ。

経営アジェンダとしてのサイバーセキュリティ

デジタルトランスフォーメーションが加速する今、サイバー戦略やサイバーセキュリティ対策は、経営品質や製品・サービス品質の向上と切っても切り離せない関係になりつつある。加えて、こうしたビジネスの他にも日本での国際イベント開催や外交関係などのファクターも影響する。桐原は現在、そして近未来のサイバーセキュリティ動向を概括した。

「デジタライゼーションの加速度的な進展はご存じの通りですが、2019年のG20大阪サミットから2020年の東京オリンピック・パラリンピックと、日本では国際イベントが相次いで開催されます。こうしたメガイベントの際はサイバー攻撃の頻発、激化が見込まれ ます。また、近隣国との外交的な緊張が続く中、サイバーセキュリティにおいては豊富な資金源を有する国家的な攻撃グループが台頭しています。

さらに、攻撃対象はより広範囲化し、重要インフラや産業のサプライチェーン、IoTサービスへの攻撃も懸念されており、経済的損失の増大化が予想されます。2017年、サイバーインシデントに起因する経済損失額は世界で約63兆円、日本国内でも約3兆円にのぼりました。世界中の企業利益の総計が約600兆円といわれる中、こうした経済的損失は無視できないものになりつつあります」

桐原は、このような環境変化を背景に、サイバーセキュリティはCxOが扱うべき経営アジェンダになっていることについても言及した。

「デロイト グローバルの調査によると、50%以上の企業の役員会議においてサイバーセキュリティに関する報告、議論が行われています。また、約90%以上の企業において、サイバーセキュリティに関する報告が日常的にレポートされています。CxOレベルでは重要な経営アジェンダとして無視できない、重要なものになっていることが分かります。

私たちデロイト トーマツ グループも、経営に関するトップアジェンダとしてサイバーセキュリティを取り扱っています。また、リスクを回避、軽減するための『守り』としてだけではなく、事業成長への貢献、投資といった『攻め』の手段としてサイバーを捉え、取り組む企業も増えています 。

私たちは2019年6月に、サイバーに特化した知見と機能を一気通貫で提供する『デロイト トーマツ サイバー』を起ち上げました。この法人名を『サイバーセキュリティ』ではなく『サイバー』としたのは、こうした攻守に関する考えがあるからです」

デロイト トーマツ サイバーは、サイバーを単に「守り」あるいはセキュリティと捉えてはいない。むしろ、事業成長のドライバーとなる「攻め」の視点でコンサルティングを行い、サイバーのケイパビリティを上げることで企業の競争力向上に貢献。「サイバーセキュリティ」のみに特化することなく、より俯瞰してサイバー領域を捉え、ビジネスを支援している。

コネクテッド時代の新たなサプライチェーンの考え方

そもそも、産業界でデジタルトランスフォーメーションが叫ばれる背景には情報の増大によるサプライチェーンの構造的な変化がある。キーワードは「Connected Industries(CI)」。今や、企画や設計・開発、調達が川上にあり、製造、販売・物流、サービス・保守という川下に流れていくサプライチェーンは前時代的なものに。各プロセスがデータを伴って有機的に連携し、社内・社外が密接に連携をとってモノづくり、サービス開発が行われていく新たな構造が見えてきた。

「コネクテッドと言う通り、CI化が進んだ後のサプライチェーンは一方向ではなく網目のように張り巡らされ、複雑につながっていきます。そこではサイバー空間、フィジカル空間もシームレスに融合していきます。プライムかサプライヤかという自社の位置づけによって異なる視点で、サプライチェーン全体をどうセキュアに守り、有効活用していくかを検討することが、グローバルな競争において重要なポイントとなるのです 」

サイバー戦略における3層の防御

では、デジタルトランスフォーメーションが加速する状況において、サイバー戦略はどのように策定すべきか。サイバーセキュリティ対策を高度化させるためには、「その企業の特性に応じてケイパビリティの深度、幅を考えていくことが重要になる」と、桐原はその指針を語る。

「セキュリティモデルの構造にはガバナンス・マネジメント・オペレーションという3層の防御があります。意思決定・ガバナンスは経営層、マネジメントは管理者層、そしてオペレーションは現場です。この3層の組織、部門が持つ責任と役割を明確に定義して対策を施し、その上でコーポレートガバナンスとの融合を進めていかなければなりません。

この3層の連携を重んじるのはなぜか? リスクマネジメントはサイバーだけにとどまらないからです。ガバナンス・マネジメント・オペレーションが包括的にリスクを捉え、統合化されたアプローチで対策を進めていく。これは他のリスクへの対応にも直結します。

また、破られて侵入されたケースを想定することも重要です。攻撃者が企業ネットワークに侵入することを前提とし、攻撃時の影響をいかに極小化するか、このリスクアプローチに基づき、実施すべき一連の施策を定義していくのが望ましいでしょう」

事業戦略・dX戦略とサイバー戦略のアライメントを取る

Japan Quality――精緻なモノづくりにおいても、きめ細やかなサービスにおいても、日系企業は「品質」を第一義として進んできた。先進国、新興国が激しくしのぎを削るグローバル経済で日系企業が今後も優位性を発揮するのは、これまで連綿と培ってきたJapan Qualityにほかならない。

「デジタルトランスフォーメーションの時代にも日系企業が存在感を発揮し日本が『品質の国』であり続けるために、日系企業が取り組むべき喫緊の課題は、根幹となる事業戦略、時代の先を見越したdX戦略、そしてサイバー戦略を連動させ、アライメントを取ることです。

前述の通り、サイバー戦略は『守り』と『攻め』の両面を見極めた戦略策定が欠かせません。攻守両面をカバーしたサイバー戦略は組織・体制や人材、システムアーキテクト、ポリシー、グループガバナンスといった個々の施策の根幹になります。サイバー戦略を入念に検討することで、それぞれの対策に横串を刺すことができるのです」

桐原は続ける。「サイバーは、成長に向けた攻めの投資です。だからこそ議論を重ねて濃淡をつけ、無駄のない投資を実施すべきです。サイバーのケイパビリティを上げることは企業の差別化要因となるだけではなく、企業全体のガバナンスの向上に寄与し、国内外のグループ全体、ひいてはサプライチェーンのガバナンスの向上にもつながります。そして最終的には、経営品質の向上をもたらすのです」

変革の時代において、競争力の源泉としてサイバー戦略を策定すること。それはデジタルトランスフォーメーションにサイバーセキュリティの要素を加えた「サイバートランスフォーメーション」にほかならない。デロイト トーマツ サイバーは、攻守両面に高度化したサイバーセキュリティ、その重要性を認識するプロフェッショナル集団として、その知見とケイパビリティを結集しクライアントをサポートしていく構えだ。

RELATED TOPICS

TOP

RELATED POST