経営者にサイバーセキュリティを「自分事」化させるには?――NISC副センター長が語るDXへの第一歩「それって現場の仕事でしょ」はNG

NISCの副センター長の山内智生氏が「サイバーセキュリティとDX(デジタルトランスフォーメーション)」をテーマに講演。サイバーセキュリティとDXの推進のためには経営者の意識変革が必須だという。「ありがち」な状態から、目指すべき姿に変容するためには何をすればよいのだろうか。

» 2020年03月25日 05時00分 公開
[松林沙来@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 「担当者はシステム運用、保守とセキュリティ対策に追われ、事故がなくて当たり前、何か起こると怒られる。現実に即していないセキュリティポリシーが、策定されたままの状態で放置されている」――

 内閣サイバーセキュリティセンター(以下、NISC)の副センター長である山内智生氏は、2020年3月12日、日本マイクロソフトが開催した、「Microsoft Security Forum 2020」の基調講演「Society 5.0 に向け取り組むべきサイバーセキュリティ対策」でこう語った。

内閣サイバーセキュリティセンター(NISC) 副センター長 山内智生氏(提供:日本マイクロソフト) 内閣サイバーセキュリティセンター(NISC) 副センター長 山内智生氏(提供:日本マイクロソフト)

 DX(デジタルトランスフォーメーション)とは、クラウドやソーシャル技術などの技術を利用し、新しい製品やサービス、ビジネスモデルなどを創造して、ネットとリアルの両面から、企業価値を高めること。2018年に経済産業省が発表した「DXレポート〜ITシステム『2025年の崖』の克服とDXの本格的な展開〜」にも、「競争力の維持、強化のために、DXをスピーディーに進めていくことが求められている」と示されており、実行する上での体制づくりや企業内の仕組みの構築が不可欠である。

 DXを進める上でも、セキュリティ対策は無視できない課題だ。山内氏はDXとセキュリティ対策、両方に必要なのは目的の明確化、社内の意識改革だという。

 山内氏は、「サイバーセキュリティとDX」をテーマに、「個人の見解も含むが」と前置きした上で、多くの企業で「ありがち」なサイバーセキュリティの姿を立場(経営層、経営企画部門、担当者)ごとに語った。

  • 経営層は、デジタル化とサイバーセキュリティの確保を担当の仕事と思っている。そもそも企業は、サイバーセキュリティをなぜ行うのか公式文書のどこにも記載していない
  • 経営企画部門は、デジタル化とサイバーセキュリティを効率化と防護のためだけと思っているし、セキュリティ監査と具体的な対策、投資がバラバラ
  • 担当者は、システムの運用保守とセキュリティ対策に追われる毎日、事故がなくて当たり前、何かあると怒られる
  • セキュリティポリシーは策定されたが、現実に即しておらず利用者もその内容を理解していない
  • BCP(事業継続計画)は策定されたが、IT部門、サイバーセキュリティ部門と他の部門の連携は検証していない

 山内氏はクラウド化が急速に進み、ICTやシステムは変革を迎えている、と前置きした上で、「セキュリティ対策についてそれら(ICTやシステムの変革)は意識されることがない。従来と同じように、レガシーが無理由に使われているのでは」と述べ、経営層や、経営企画部門が持つデジタル化やサイバーセキュリティへの認識――「効率化と防護のためだけにあるもの」「それって現場担当者の仕事でしょう」を改めることがDXを進めるための第一歩であると語った。

 山内氏はこう投げかける。

 「既存システム運用のための人、DXを進めるための人、二重に人がいる。当然のように聞こえるかもしれないが、おかしくないか。既存システムの運用保守を効率化して、ビジネスをそれに合わせたものに作り替えるのがDXの本質だったはず」

 それを達成するためにはどうすればよいか。目指すべき姿を次のように提示した。

  • 経営層は、デジタル化計画がフロント・バックオフィス双方に及ぼす影響とサイバーリスクの概要を知っていて、自社の経営計画にもサイバーセキュリティ対策を行う目的を記載している
  • 経営企画部門は、自社のシステムに障害が出たり、情報流出が生じたりした場合に、どの程度の損失につながるかを把握しており、情報資産の管理とセキュリティ監査を連動させることで、具体的な対策・投資の優先順位を決めている
  • 担当者は、リスク分析の結果を知っており、どこに障害が生じると重大事であるか認識している
  • 会社全体として、現場が理解できるDXに適応したセキュリティポリシーを策定しており、DXによる利点とセキュリティの確保が両立しているとともに、策定したBCPが実働するかどうかIT部門、サイバーセキュリティ部門と他部門が連携して検証している

 「経営層が詳細な事実を把握している必要はない。デジタル化の計画が、業務フロントやバックオフィスにどのように影響しているのか、そしてそのシステムが止まったとき、自社の経営計画にどのようなリスクが周知されているのか、という概要を知ると、サイバーセキュリティ対策を行う目的が明確化される」

経営層に問題意識を持たせるには何が有効なのか?

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。