政策と産業の最新動向を伝え、解説する“クオリティペイパー”


KPMGコンサルティング㈱パートナー 田口篤氏

KPMGコンサルティング㈱パートナー 田口篤氏

サイバーセキュリティは高い技術力を持ったホワイトハッカーとブラックハッカーの戦いの話ではありません。企業全体で取り組むべき課題です。トップマネジメントではサイバーセキュリティ戦略において、何を理解し、何を決断しなければならないのか?
よく聞く話は、企業のトップがセキュリティに対する理解がない。予算を要求湯すると費用対効果を問われる。世の中にCISOはどのくらいいるかと言えばセキュリティ担当役員は4割の企業にいる。上場企業の有価証券報告書に「事業リスク」としてサイバーセキュリティリスクを取り上げている企業が約60%もある。
マネジメント層にセキュリティが大事である意識は高まってきている。次の1手はリアリティのある危機意識を持つことだ。事業のサスティナビリティ確保はトップマネジメントの重要なミッションであり、リスクに対しはお金を出します。サイバーセキュリティに関しては、リアルな危機意識をまだ感じ切れていないのだと思う。
そのためにはリアリティのある自社固有のリスクシナリオを持つ。自社は誰から、何を、どうして、どうやって狙われるのか?その作り方は2つある。
1つはクラウン・ジュエリー(王冠の宝石)を特定する。企業にとって一番重要なもの、自社で本当に守らなければならにものは何か?機密情報全てでは守りきれないが、対象を絞り込めば対策は打てる。最近は制御系システムがネットワークでつながってきていてクラウン・ジュエリーとなりつつある。
2つめは、自社のクラウン・ジュエリーは誰に狙われているのか?行為者のタイプには5つある。最近はナショナル・ステイツ(民族国家)や犯罪集団、内部関係者が増えてきている。自社はどこから狙われているのかをきちんと作成して見ると対策コストがわかる。実感の伴わないリスクシナリオでは組織は動かない。それが現場から見てもリーズナブルかどうかが戦略の第1歩となる。
その次の2手は、リスクシナリオの対処方針を決め、未知の攻撃手法に対処する。具体的にはレジリエンシー(復元力)と学習機能を組織に具備する。レジリエンシーとは、セキュリティインシデントは必ず発生することを前提とし、
不正侵入を完璧に防ぐことは難しい。
レジリエンシーを高めるには、不正侵入されても、すぐに発見でき、対処でき被害を最小化で対策が重要になってくる。そのため、性善説での対策では防ぎ切れなくなっている。
もう1つのキーワードが学習機能だ。情報収集と分析によって適時に必要な手当てを行うスタイルで、効果的な予防となる。そして、学習機能が費用対効果を高めることになる。そのほか、理解しておくべきことは、情報セキュリティはさまざまな管理部門と関連するため、組織の論理で守備範囲を制限しない。
ITでは解決できない領域にマネジメントとしてコミットしていく。リソースの確保、情報セキュリティに対する企業風土などを醸成していくが重要になってきている。
結論をまとめると、1つは自社のサイバーセキュリティリスクを自身の言葉で理解する、2つめはリスクの対処方針を明確にする
3つめは、組織の論理に縛られずITでは解決できない領域にも積極的にコミットしていく。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <img localsrc="" alt="">