経営者にサイバーセキュリティを「自分事」化させるには？――NISC副センター長が語るDXへの第一歩：「それって現場の仕事でしょ」はNG

NISCの副センター長の山内智生氏が「サイバーセキュリティとDX（デジタルトランスフォーメーション）」をテーマに講演。サイバーセキュリティとDXの推進のためには経営者の意識変革が必須だという。「ありがち」な状態から、目指すべき姿に変容するためには何をすればよいのだろうか。

[松林沙来，＠IT]

　「担当者はシステム運用、保守とセキュリティ対策に追われ、事故がなくて当たり前、何か起こると怒られる。現実に即していないセキュリティポリシーが、策定されたままの状態で放置されている」――

　内閣サイバーセキュリティセンター（以下、NISC）の副センター長である山内智生氏は、2020年3月12日、日本マイクロソフトが開催した、「Microsoft Security Forum 2020」の基調講演「Society 5.0 に向け取り組むべきサイバーセキュリティ対策」でこう語った。

内閣サイバーセキュリティセンター（NISC）　副センター長　山内智生氏（提供：日本マイクロソフト）

　DX（デジタルトランスフォーメーション）とは、クラウドやソーシャル技術などの技術を利用し、新しい製品やサービス、ビジネスモデルなどを創造して、ネットとリアルの両面から、企業価値を高めること。2018年に経済産業省が発表した「DXレポート〜ITシステム『2025年の崖』の克服とDXの本格的な展開〜」にも、「競争力の維持、強化のために、DXをスピーディーに進めていくことが求められている」と示されており、実行する上での体制づくりや企業内の仕組みの構築が不可欠である。

　DXを進める上でも、セキュリティ対策は無視できない課題だ。山内氏はDXとセキュリティ対策、両方に必要なのは目的の明確化、社内の意識改革だという。

　山内氏は、「サイバーセキュリティとDX」をテーマに、「個人の見解も含むが」と前置きした上で、多くの企業で「ありがち」なサイバーセキュリティの姿を立場（経営層、経営企画部門、担当者）ごとに語った。

• 経営層は、デジタル化とサイバーセキュリティの確保を担当の仕事と思っている。そもそも企業は、サイバーセキュリティをなぜ行うのか公式文書のどこにも記載していない
• 経営企画部門は、デジタル化とサイバーセキュリティを効率化と防護のためだけと思っているし、セキュリティ監査と具体的な対策、投資がバラバラ
• 担当者は、システムの運用保守とセキュリティ対策に追われる毎日、事故がなくて当たり前、何かあると怒られる
• セキュリティポリシーは策定されたが、現実に即しておらず利用者もその内容を理解していない
• BCP（事業継続計画）は策定されたが、IT部門、サイバーセキュリティ部門と他の部門の連携は検証していない

　山内氏はクラウド化が急速に進み、ICTやシステムは変革を迎えている、と前置きした上で、「セキュリティ対策についてそれら（ICTやシステムの変革）は意識されることがない。従来と同じように、レガシーが無理由に使われているのでは」と述べ、経営層や、経営企画部門が持つデジタル化やサイバーセキュリティへの認識――「効率化と防護のためだけにあるもの」「それって現場担当者の仕事でしょう」を改めることがDXを進めるための第一歩であると語った。

　山内氏はこう投げかける。

　「既存システム運用のための人、DXを進めるための人、二重に人がいる。当然のように聞こえるかもしれないが、おかしくないか。既存システムの運用保守を効率化して、ビジネスをそれに合わせたものに作り替えるのがDXの本質だったはず」

　それを達成するためにはどうすればよいか。目指すべき姿を次のように提示した。

• 経営層は、デジタル化計画がフロント・バックオフィス双方に及ぼす影響とサイバーリスクの概要を知っていて、自社の経営計画にもサイバーセキュリティ対策を行う目的を記載している
• 経営企画部門は、自社のシステムに障害が出たり、情報流出が生じたりした場合に、どの程度の損失につながるかを把握しており、情報資産の管理とセキュリティ監査を連動させることで、具体的な対策・投資の優先順位を決めている
• 担当者は、リスク分析の結果を知っており、どこに障害が生じると重大事であるか認識している
• 会社全体として、現場が理解できるDXに適応したセキュリティポリシーを策定しており、DXによる利点とセキュリティの確保が両立しているとともに、策定したBCPが実働するかどうかIT部門、サイバーセキュリティ部門と他部門が連携して検証している

　「経営層が詳細な事実を把握している必要はない。デジタル化の計画が、業務フロントやバックオフィスにどのように影響しているのか、そしてそのシステムが止まったとき、自社の経営計画にどのようなリスクが周知されているのか、という概要を知ると、サイバーセキュリティ対策を行う目的が明確化される」

経営層に問題意識を持たせるには何が有効なのか？

　サイバーセキュリティ対策やDXを自分事と捉えるためにはどうすればよいか。山内氏は、日本経済団体連合会（以下、経団連）が発行した「サイバーリスクハンドブック　取締役向けハンドブック日本版」を、次のように紹介した。

　「サイバーリスクは、一般的な会社全体のリスクのうちの1つである、ICTの利活用や普及を進める上で連動しているリスクの一環である、と書かれている。経営層、経団連の会員以外にもぜひ読んでほしい」

　「サイバーリスクハンドブック　取締役向けハンドブック日本版」は、経団連と米国インターネットセキュリティの業界団体である、インターネットセキュリティアライアンス（ISA）が2019年にWebサイトで公開した。経団連関連企業の取締役員向けに、サイバーリスクをどう認識し、対処するかを検討し行動に移すよう要請している。

　では一体、サイバーセキュリティ対策とDXを進めるために、何をすればよいのか。山内氏は「大きな目標を立てず、当座の目標を分けて考えるのはどうか」と提案する。

　例えば、以下のような取り組みだ。

• 保有するシステムや情報資産について、問題種別ごとの損害規模や、監査状況を調査し、資源配分の優先度合い、効率化度合いと改善のめどを立てる
• 必要な人材を適切に設定し、それに合わせた評価軸、キャリアパスを提示する
• システムの運用状況、セキュリティ対策の状況を把握し、リスク分析と残留リスク（サプライチェーンリスク、外部委託対策を含む）を把握する
• 適切なアクセス管理の設定
• 適切なセキュリティポリシーを設定し、社員への研修やフィードバックを行い、現実離れしていないか双方向で運用する

　山内氏は繰り返し「現場に任せるだけではDXの全体像はつかめない」と述べる。企業でセキュリティ対策やDXを進める上では経営層や経営企画部門の意識変革が必須だからだ。

　「経営企画部門には“DX with Cybersecurity”を考えてほしい。リスク管理の一環にサイバーセキュリティがある。経営者は『サイバー』だからといって難しく考えずに、金融、労働災害などの他のリスクと同様にサイバーセキュリティ対策に取り組んでほしい」