世界中のデータが交差するアムステルダムでセキュリティに携わる―ジャック・ブースさんと

役員室からファイアーウォールまで

丸山：今回の来日でジャックに講演をしてもらったんです。その時に、「役員室からネットワークへ」と話していましたね。これはいい言葉だなと思って。

ブース：「役員室からネットワークまで」そして「役員室からファイアウォールまで」です。

丸山：けっこう飛びますね（笑）。順に聞いていきましょうか。まずは役員を説得しなければならないっていうのは、万国共通です。役員、経営層を説得するにはどうするべきと考えていますか？

ブース：当たり前の話ですが、情報セキュリティに投資するだけでは最終的に利することはないので、どうしても経営層の理解を得ることができない。定量化されたリスクに見合ったリターンを得られなければならないわけです。サイバーに対する投資とリターンについて真剣に考えようとすると、リスクポイント、即ちリスクの定量化が必要不可欠になってくるんですが、これが難しいんです。

丸山：そう、実践が難しいことが課題ですよね。どうしたら成功するんでしょうか。

ブース：サイバーリスクの定量化モデルの様々な構成要素を検討することです。期待損失のことも考えなくてはならないし、どのような脅威があるのかも考えておく必要がある。これに関しては、デロイトでは脅威インテリジェンスを使っています。また、どのようなことが起こり得るのか、誰が自社のデータを欲しがる可能性があるかということも知っておく必要があるでしょう。非常に複雑で大変な仕事ですが、これをやらなければなりません。

丸山：企業の役員向けには情報の可視化が大変重要ですから、ダッシュボードが鍵となりますね。

ブース：ですね。

丸山：ダッシュボードにはどのような情報を載せると良いでしょうか？

ブース：VaRに関する情報はもちろん、定量化モデルに関連する情報、脅威の状況、サイバー脅威インテリジェンスなどです。私達のもとにも日次・週次でそのような情報が届くのでお分かりですよね。サイバーリスク業務が上手くいっているかどうかを確認して脆弱性を評価するのです。

丸山：なるほど。このインテリジェンスダッシュボードは現在、どれくらいの数の会社が使っているんですか？

ブース：この定量化モデルはデロイトだけのものではなく、世界経済フォーラムが開発した、誰もが使えるものですので、他社も同じモデルを使用しています。デロイトではこれを商用化してアドバイザリーサービスの一環として利用しており、現在オランダからは約10社と協働しています。

丸山：日本では銀行とメーカーの2社で導入実績がありますが、まだ運用を開始したばかりです。

ブース：これは全く新しい、イノベーティブな考え方ですからね。

丸山：もしその2社が10年使い続けたら、この定量化モデルは今よりずっと役立つものになると思っています。最初の年は不十分なデータで始めましたから。不正確なデータもあったかもしれません。しかし10年、15年と使えば大分違ったものになるはずです。

ブース：この定量化モデルやサイバーリスクの議論を企業の役員室に持ち込むところがまさに、デロイトと他社との差別化ポイントですよね。多くの技術的なIT企業はサイバーセキュリティをサービスとしていますが、サイバーセキュリティはサイバーの世界の一部にすぎません。一方デロイトはサイバーリスクを戦略的価値創造の一面と捉え、サイバーリスクをサービスとしています。我々にはビジネスが分かりますから、まずはビジネスのことを考えた上で、そこから技術的な面を検討していくのです。サイバーセキュリティの技術的な側面は、サイバーリスクサービス全体のほんの一部なのです。これが、サイバーリスクに重点を置いているデロイトと、サイバーセキュリティに重点を置いている技術的なITサービス企業との決定的な違いです。

丸山：僕ら身内で褒めあっていても仕方ないのですが（笑）、本当にジャックの言う通りなんですよ。僕らはサイバーリスクの議論を役員室に持ち込もうとしているし、それができる数少ない企業だと思っています。