三角育生教授が説く「戦略マネジメント層」の重要性──セキュリティリスクを経営陣に理解してもらうには？

経営層と現場をつなぐ「戦略マネジメント層」がもたらす効果

　DXを推進するうえで、サイバーセキュリティ対策を難しくする要因は複数ある。第一に、多くの経営者がサイバーセキュリティを“IT部門の仕事”と認識していることだ。しかし、これまでの事例が示すとおり、サイバーリスクは事業継続や企業の存続そのものに直結する経営課題であり、経営者自身が当事者意識を持つ必要がある。

　第二に、技術的な問題やリスクを経営層に伝える「本物の翻訳者」の不足が挙げられる。IT部門の言葉は、経営層には通じにくい。たとえば単純に「脆弱性問題」と言われても経営層には響かないように、ビジネスへの影響、すなわち「このリスクが収益にどう影響するのか」という言葉に置き換えて説明できる人材が必要となる。

　第三に、資金と人材の不足だ。セキュリティ専門人材の確保は困難であり、何を外部へ委託し、何について内部で人材育成をするのかといった事柄における中長期的な戦略が求められる。

　「経営層はセキュリティの重要性を理解できていないと考えている方も多いと思いますが、意外と重要性そのものには気づいている人が多いです。しかし、その先の『どんな対策をとればよいのか』という問題を、経営層自身が介入せずIT部門任せにしてしまうパターンが多い。もちろん自ら積極的に戦略を練ろうとしている経営層の方もいますが、適切な方法を見いだせず悩んでいるケースが見受けられます」（三角氏）

　これらの課題を解決するための有効な手立てとして、同氏はまず経済産業省とIPAが策定した『サイバーセキュリティ経営ガイドライン』の活用を挙げた。サイバーセキュリティ経営ガイドラインは、経営者がセキュリティ対策に取り組むべき項目を具体的に示したもの。これが普及したことで、対策を怠った際の注意義務違反が問われる可能性が高まっている。特に、Ver 3.0から「組織経営のリスクマネジメントの一環としてサイバーセキュリティに取り組むべき」と明記された。これは、サイバーリスクを財務リスクやコンプライアンスリスクと同様に、全社的なリスクマネジメントの枠組みに統合して管理すべきという考え方を示している。

　しかし、そう簡単に全社的なサイバーリスクマネジメントを実現できるわけではない。経営層やIT部門、事業部門ではそれぞれ重視する視点が異なり、施策の方向性がバラバラになってしまいがちだからだ。「サイバーリスクは、組織全体のリスクマネジメントの中でも、事業目標の達成を阻害するネガティブなリスクとして組みこむ必要がある」と三角氏。そのためには、経営企画部門など、組織全体のリスクを俯瞰する部署にセキュリティの知見を持つ人材を配置することが効果的だという。つまり、経営層と現場をつなぐ“戦略マネジメント層”を育成し、彼らが経営とセキュリティの視点で対策方針を考え、経営層に伝わる言葉で説明することが重要なのだ。

　また、セキュリティ対策は単に事前の防御策を講じるだけでは不十分であり、インシデント発生後の「検知」「対応」「復旧」までを考慮した事業の「レジリエンス（強靭性）」の確保が不可欠だ。こういった包括的なリスクマネジメントを行うための具体的なフレームワークとして、米国国立標準技術研究所（NIST）が提供する『サイバーセキュリティフレームワーク（CSF）』を活用することも有効だという。これはガバナンス、識別、防御、検知、対応、復旧の6つの機能で構成されており、自社の現状を客観的に評価し、目標とする姿とのギャップを可視化することで、改善点を明確にするツールとして活用できる。

　「自社の事業領域でのリスクマネジメントの成熟度と自社の現状を比較し、問題点を洗い出しながら今後の方針を定めたマップを作るという作業をいきなり行うのは難しいと思います。ですから、最初から完璧を目指すのではなく、まずは“できることから始めてみる意識”が大切です」（三角氏）