DX時代に求められるセキュリティ
近年よく聞かれるようになった「レジリエンス」。日本語では強靭性、弾力性、柔軟性などと訳されるが、要は「状況に柔軟に対応し、継続可能な状態に戻る力」のことだ。特に「サイバーレジリエンス」といえば、「予期しない事象に対処する力=対処能力」を意味することも多いが、「変化を捉える力=監視能力」「何が起こり得るのか予測する力=予測力」「過去から学び、改善する力=学習力」といった能力も求められると青山氏は指摘する。
では、どうすればこれらの能力を高め、レジリエンス力を高めていくことができるのか。手始めにDX時代にサイバーリスクがどのように変化し、どのようなセキュリティが求められているのかを把握することが大切だろう。
下図の2020年の調査結果[1]では、ヒヤリハットを含めて「情報漏えいが少なくとも一度は発生している」と答える組織が82%もあった。DXによってサイバーリスクがより顕在化しつつあることが伺える。そして、DXによりサプライチェーンなど社外システムとの依存性が高まっているにも関わらず、「社外システムに対するセキュリティ管理が未整備」と答えた組織は58%にも上る。つまり、DXのスピードに対し、必要なセキュリティのポリシーや体制などの整備が十分に整っていないというわけだ。
青山氏は「約60%の組織が、セキュリティとDXのバランスが取れないまま走っている状態」と警鐘を鳴らす。その背景には、DXにおけるセキュリティチームと経営層の価値観に齟齬が生じていることがあるようだ。ITセキュリティを担当する部門と経営層の間で、「優先順位が合意できている」と答えた組織はわずかに16%に過ぎない。
そしてDXのプロジェクトについて「予算がセキュリティに割り当てられている」と回答したのは35%程度であり、社外システムへの依存性が増しているにも関わらず、セキュリティ管理体制の未整備が60%、かつ予算すら割り当てていない組織が35%という状況にあるという。
サイバーリスクが顕在化しつつあるにも関わらず、十分なセキュリティ対策を取れていないだけでなく、上層部の理解もなく、予算もないために当分対応もできないという状況にある。その上、リスクアセスメントもできていないまま、DXだけがどんどん進んでいる状態と言えるだろう。
なお、グローバル全体のトレンドとして、セキュリティに関する規制や法律の整備が国内外で進むにつれ、「セキュリティはIT部門だけでなく組織全体で対応するもの」と捉え方・考え方が変わってきているという。たとえば、米国の政府機関NIST(National Institute of Standards and Technology:米国立標準技術研究所)が発行する『サイバーセキュリティフレームワーク(CSF)』では、元々挙げられていた「5つのコア機能=特定・保護・検知・対処・復旧」といった一連の流れを支える機能として「ガバナンス」が加わった。
つまり、IT部門だけでセキュリティのPDCAを回すだけでは不十分であり、組織の責任者がリーダーシップをとってセキュリティの「ガバナンス」を担保する必要があるという見方だ。しっかりと組織のリスクを理解した上でのセキュリティガバナンスが求められている。
青山氏は「セキュリティのあり方もDXと共に変わっていくべき。ガバナンスの重要性が高まっていることを踏まえ、サイロ化しやすいセキュリティ・IT業務の枠を破っていくこと、つまりは『セキュリティトランスフォーメーション』が大切」と語り、そのポイントとして次の3つを挙げた。
1. サイバーリスクを経営リスク管理の一部として組み込むこと
サイバー特有のリスクの考え方・捉え方はあるが、経営全体におけるサイバーリスクが占める比率を考える。たとえば、リスクマトリクスで表現したときにサイバーリスクがどこにポジションするのか、「組織のリスクマネジメントにおけるサイバーセキュリティ」として捉えることが重要だ。
2. IT部門と経営層が、保護すべき資産と業務について優先順位を合意すること
サイバーセキュリティに関する優先順位について、社内ステークホルダー間で合意することは欠かせない。特にIT部門はイニシアチブを取って優先順位を考えるべきだ。さもなくば部門やステークホルダーがそれぞれの価値観、考え方に基づいて優先順位を勝手に理解し、調整なきまま業務にも反映させてしまう恐れがある。
3. レジリエンスの設計・デザインを協力して実施すること
レジリエンスはいざというとき、すぐに発揮できるものではない。システムに関連する組織やプロセスをデザインする過程で、「どのようにリスクに対応するのか」「どうやって異変から学習するのか」を組み込んで考える必要がある。そのためには、DXプロジェクトの初期段階からセキュリティ担当者がしっかりと関与することが重要だ。
[1] 「Digital Transformation & Cyber Risk: What You Need to Know to Stay Safe」(Ponemon Institute,2020)
