ポストコロナで競争優位を
生み出す経営者の
職責としての
サイバーセキュリティ戦略

【シリーズ】 両極化時代のデジタル戦略

デジタル化の加速は、フィジカル空間とサイバー空間をシームレスに融合させ、人々の暮らしやビジネスの在り方を大きく変えた。この大きな環境変化は、企業に大きなビジネスチャンスをもたらすと同時に、サイバー攻撃という巨大なリスクに直面させている。企業経営者が見据えるべきは、データを介してあらゆる人やモノがつながり合うコネクテッドワールドでは、サイバー攻撃がもたらす影響は一企業にとどまらず、広く社会に及ぶという現実だ。サイバーセキュリティの対応を間違えれば、金銭的な損害だけでなく、企業価値を大きく損なうことにもなりかねない。経営者のリーダーシップの下でサイバーセキュリティ戦略を刷新することは、いまやあらゆる企業にとって避けられない喫緊の課題なのである。

桐原 祐一郎 / デロイト トーマツ サイバー合同会社 CSO

セキュリティに求められる攻守両極の視点

デジタル化が加速度的に進展する現在のビジネス環境において、「サイバーセキュリティ」の重要性がかつてなく高まっている。リスク回避のためのコストと捉える「守り」の視点だけでなく、事業に不可欠な投資と捉えた「攻め」の視点で取り組む企業が増えているのだ。

こうした変化の背景にあるのが、企業におけるdX(Business Transformation with Digital)の取り組みの活性化だ。産業を問わず、多くの企業でdXこそが最大の成長のドライバーとなっている今、それを支えるサイバー空間の治安維持が経営課題として重要視されるのは当然といえる。

また、多くの企業において、フィジカル空間(リアル)にサイバー空間(デジタル)を高度に融合して新規事業の創出や既存事業の高度化を図ろうとしている。つまり、サイバー空間のセキュアを確保することは、まさに事業活動の根幹である「製品・サービスの品質向上」にダイレクトにつながっているのである。
このように、サイバーセキュリティをdX成功の条件として捉え直さなければならない状況に迫られているのだ。

さらには、アライアンスを組もうとするビジネスパートナーに「サイバーセキュリティ対策が高いレベルで講じられていること」を取引条件の一つとして課す組織も増えている。つまり、エコシステムの構築による「攻め」の経営を推進させる条件として、サイバーセキュリティへの取り組みは欠かせないものとなりつつあるのだ。

同時に、「守り」をおろそかにしたリスクも、これまでとは比較にならないほど広範囲に及ぶことを認識しておく必要がある。コネクテッドインダストリーの潮流は、サプライチェーンに構造的な変化をもたらし、企画、生産、流通のプロセスが川上から川下へと直線的につながる従来のような「チェーン型」から、各プロセスがデータを介して相互につながり合う「エコシステム型」へ、大きく変貌を遂げている。デロイト トーマツが「デジタルサプライネットワーク(DSN)」と呼ぶ、この新たなつながりにおいては、フィジカル空間とサイバー空間が緊密かつ複雑に融合し、リアルとデジタルの垣根は限りなく低くなる。このような環境で自社が管理するサイバー空間への攻撃をひとたび許せば、データを媒介としてつながるステークホルダーに大きな影響を及ぼしてしまうのだ。

例えば、ある企業のシステムから流出した顧客の個人情報が犯罪に利用されたとしよう。サイバー攻撃の標的となった企業は「被害者」であるどころか、セキュリティの不備を放置していた「加害者」と見なされ、社会から強く糾弾されることになるだろう。損害賠償請求などの訴訟リスクにさらされるのはもちろん、社会的評価も信頼も大きく損なわれるのだ。
JCIC(日本サイバーセキュリティ・イノベーション委員会)※1の調査 によれば、日本国内で情報流出などのサイバーインシデントを起こした企業の株価は平均10%下落し、純利益は平均21%減少するという。

ポストコロナで「待ったなし」の状況に

事業を持続的に成長させるためには「攻め」のサイバーセキュリティ対策が不可欠であり、「守り」に失敗すれば、意図せず加害者となり、企業価値を毀損してしまう──。ポストコロナの世界において、この傾向はますます強まっている。その誘因の一つとなったのは、企業の「リモートワーク」の優先度が一気に高まったことだ。十分な準備期間がないまま全社的にリモートワーク体制に移行した企業の多くで、サイバーセキュリティのリスクがいや応なく高まっている。
また、ポストコロナのニューノーマルである「ソーシャルディスタンス」を実現するために、これまで実店舗や営業スタッフといったフィジカルな空間にしか顧客接点を持たなかった企業も、サイバー空間での接点強化に積極的に乗り出している。このような新たなビジネスモデルを実現するために多種多様なプレーヤーが連携するエコシステムの構築も加速しており、巨大化、複雑化するエコシステム全体を見渡すセキュリティ体制の構築が急務となっているのだ。

実際に、コロナショックを機に、サイバー攻撃は急増している。米国のソフトウェア会社、VMware Carbon Black社が2020年5月に発表した報告書「Modern Bank Heists」※2 によれば、同年2〜4月に金融機関を狙ったサイバー攻撃の数は前年同期比で実に238%に達しており、金融以外の業種でもリモートワークの拡大に伴って91%の企業でサイバー攻撃が増加したという。

企業が新たな価値を創出しようとすれば、IoT、AI、VR、ブロックチェーン、次世代通信技術といった最新のデジタル・テクノロジー活用が不可欠だ。こうした技術を通じて、今、フィジカル空間とサイバー空間とを連結する「サイバーフィジカル空間」ともいうべき新たな平面が大きく広がっている。この「第三の層」は、ビジネスチャンスの宝庫であると同時に、これまでは存在しなかった新たな脆弱性とリスクの温床にもなっている。コロナショックにおけるサイバー犯罪の急増が、一部で「サイバー犯罪のゴールドラッシュ」などと形容されるゆえんである。

これまでのセキュリティマネジメントは、生産設備や製品、従業員などが属する「フィジカル空間」と、自社システムやデータなどが属する「サイバー空間」の2層に力点が置かれていたが、両者が高度に融合する産業社会においては、その中間に、IoT機器やセンサーが媒介する新たな「サイバーフィジカル空間」を想定した3層構造と捉えてリスクを把握し、適切な対策を打たなくてはいけないのである。

「深さ」と「幅」で高度化するサイバーセキュリティ戦略

こうした新たな環境に対応するためには、新たなコンセプトに沿ったサイバーセキュリティ戦略の構築が求められる。「深さ」と「幅」の両面で「サイバーセキュリティ」の射程を広げ、立体的に全体を俯瞰する必要があるのだ。

まず「深さ」だが、現場だけで完結する浅い対策だけで良しとしてきた現状を改め、経営課題として捉え直す必要がある。つまり、経営層が全社的なサイバー戦略を立案する「ガバナンスレベル」、これに基づいてマネジメント層がセキュリティポリシーなどのルールとシステムを整備する「マネジメントレベル」、そして、現場が運用業務の立ち上げや維持・管理を担う「オペレーションレベル」の3層に広げ、各層を有機的につなげるのである。

ここで大事なのは、サイバーセキュリティ戦略を経営課題と位置付け、トップダウンのアプローチでコーポレートガバナンスと個々の施策の整合性を確保することだ。日本企業ではこれまで、現場ごとにセキュリティプロジェクトを立ち上げて独自に運用することが多かったが、その方式では施策が重複して無駄な投資が発生しやすいだけでなく、各施策に経営目線の横串が刺さらないため、強みとして活用しにくい事情があったのだ。

もう一つの重要なアプローチが、サイバーセキュリティ施策の「幅」を拡大することだ。これまでのセキュリティ対策では、システムへの侵入の予防(リスクの特定→特定したリスクへの防御)に重点が置かれていたが、それだけでは実際にインシデントが発生したときに迅速に手を打つことができずに傷口が広がってしまう。サイバー攻撃の手口の多様化・高度化を踏まえれば、どれだけ防御しても破られる可能性はある。それをあらかじめ想定した上で、速やかな事後対応(検知→対応→復旧)を含めたフレームワーク(デロイト トーマツでは、このようなフレームワークを「サイバーセキュリティフレームワーク(CSF)」と呼ぶ)を用意して備えておくことが不可欠なのだ。

セキュリティ対策を、経営者自身のアクションに

もちろん、サイバーセキュリティがいかに重要であるといっても、セキュア品質とビジネスとしての競争力を両立するには、コストの観点を無視することはできない。見据えるべき深さも幅も拡大する中で完璧を求めればコストだけが無限にかさむことになり、経営視点がないまま従来のIT部門の予算内だけで対応しようとすれば、攻めの対策は到底おぼつかないだろう。
こうした迷走を避けるために重要なことは、サイバーセキュリティを事業価値創出のための「投資」として正式に経営アジェンダに位置付け、経営者が責任を持って推進できる体制を構築することだ。そうして初めて、新規事業の立ち上げや、製品やサービスの企画・設計段階からセキュリティリスクの洗い出しと対策を機能と価格に織り込んでいく「セキュリティ・バイ・デザイン」の実践が可能になるのだ。

セキュリティ・バイ・デザインの立案においては、被害者視点から加害者視点へ、リスクの捉え方を180度転換する必要がある。自社を被害者としてしか想定しないのであれば、リスクの把握も、その対策の検討も「自社が許容できるかどうか」という主観的な価値観だけで行えばよいが、加害者になることを想定するならそれは許されない。客観性に基づいたステークホルダーへの説明責任が求められるからだ。
こうした取り組みを丁寧に行うことは、企業の強みにもなる。ステークホルダーを不用意に加害しないための「安全なdX」の推進を経営上の重要課題として織り込み、適切な情報発信を通じて説明責任を果たすことは、企業全体のガバナンスの向上、ひいては経営品質の向上をもたらすからである。

以上のようなロジックは、情報感度の高い経営者であれば誰もが共感してくれる。しかし実をいうと「本当に」行動に移している経営者はほとんどいないのが現状だ。「当社ではすでに実践している」と言う経営者がいればぜひ問いたいが、今この瞬間にサイバーインシデントが発生し、明日記者会見を開くことになったと考えてみてほしい。本当にあなたは十分な説明責任を果たせるだろうか。

いざとなればリモートワークに切り替えられる体制をつくっておくことの重要性は、コロナショック以前から語られていた。しかし、多くの企業がそれを実行に移すためには、政府が公式に「緊急事態宣言」を発令するのを待たねばならなかった。「経営課題として認識すること」と「行動に移す」ことの間には深い溝がある。しかし、サイバーセキュリティに関する緊急事態宣言は、実質的にすでに発令されているに等しいのである。

※1 JCIC(日本サイバーセキュリティ・イノベーション委員会)「取締役会で議論するためのサイバーリスクの数値化モデル ~サイバーリスクの金額換算に関する調査~」(2018年9月)

※2 VMware Carbon Black「Modern Bank Heists 3.0」

※当記事は2020年11月16日にDIAMOND ハーバード・ビジネス・レビュー.netにて掲載された記事を、株式会社ダイヤモンド社の許諾を得て転載しております。

RELATED TOPICS

TOP

RELATED POST