中小からグローバル規模まで、多様な悩みを解決可能
長年の実績があるゆえに、多くの企業から頼られている日立ソリューションズ。たとえば直近では、とある製造業の会社がランサムウェア攻撃に遭い、システムが停止する被害を被ったため、サイバーレジリエンス強化のためのソリューションについて相談があった。
また、グローバルで事業を展開する企業から、「海外の取引先から『セキュリティ対策を強化しないと取引を停止する』と突然言われて……」といった相談も。その企業に対しては、海外の規制や制度に対応したセキュリティポリシーの策定見直しから始め、現状のセキュリティリスク分析と並行して、ゼロトラストセキュリティの導入支援も進めているところだという。グローバル対応だと、最近ではEUのサイバーレジリエンス法対応の引き合いが多いようだ。
伴走の度合いも、顧客に合わせて柔軟に対応可能だ。セキュリティ戦略の支援として、中長期計画やロードマップ策定まで入り込むことも可能だが、逆に「それほどの必要はない」のであれば、アドバイザリーサービスという形で週に何回、月に何回といった具合での定期的な伴走支援という形もある。
サイバーレジリエンスに取り組む企業へ2つのメッセージ
これからサイバーレジリエンスを高めていきたいという企業に対し、扇氏は2つのメッセージを送る。1つ目は、「“社内の”サプライチェーンにも目を向ける」こと。サプライチェーンというと社外の取引先というイメージがされがちだが、自社内の調達部門や開発部門なども、自社プロダクトを構成するサプライチェーンの1つだ。それらの他部門と密にコミュニケーションを取りながら、全社的にセキュリティのリテラシーを高め、人材育成や対策を進めていかなければならない。
調達・開発部門などと連携しながら、サプライチェーン全体でセキュリティのレベルを上げていく。セキュリティ担当者にとっては長く大きな取り組みになるが、「私たちのようなマルチベンダーをぜひ頼ってほしい」と扇氏。日立ソリューションズの強みは、単一製品の導入による単なるコンサルティングだけでなく、1つの目的に対し複数の製品を並べて検討できる点だ。一度にたくさんの製品を比較できるため、時間の節約にもなる。
2つ目のメッセージは、「情報システム部門やセキュリティ担当者が、普段から経営層に情報提供する」ことだ。普段から経営層に何も情報を伝えていないとどうなるか。他社で大きなインシデントが発生した際、経営層がニュースを見て驚愕し、「うちは大丈夫か!?」と混乱に陥るかもしれない。そして、現場へ大量の質問や命令が押し寄せるだろう。そこから動くのでは大変な労力が生じてしまう。
普段から、「今月はこんなアラートがありましたが、これはこういう仕組みで、深刻度はこのくらいです」と、実際に起きたことやその仕組み、深刻度を伝えておけば、経営層の中でも理解が進み、感覚がつかめてくるだろう。すると、被害に遭っても冷静な判断ができるだけでなく、新しいソリューションを導入する際の説明も少なく済む。
「コミュニケーションや社内連携など、レジリエンスの強化には『人』の力や組織力が欠かせません。普段から社内全体で情報共有していれば、予算もつけやすくなりますし、今後の対策で相互に協力しやすくもなるでしょう。良いコミュニケーション……セキュリティとは一見無縁のように思えるかもしれませんが、その恩恵は計り知れません。ぜひ、明日からでも実践していただきたいです。そして困った時には、一人で足踏みせず、ぜひ我々のような存在を頼っていただきたいです。いつでもお待ちしています」(扇氏)
