オランダは今も昔もモノ・ヒト・コトが交差する場所だった
丸山:ジャックはデロイトのパートナーで、現在はグローバル・リスク・アドバイザリー・リーダーとして、顧客のビジネスの視点からのリスク・アドバイザリー・サービスを担当しています。ジャック、デロイトに勤めて何年くらいになりますか?
ブース: もう25年以上になりますね。その間様々な役割や責任を担ってきました。初めはCPA(公認会計士)からスタートし、その後システム監査を担当し、そしてテクノロジー分野へと移ってきました。
丸山:私もデロイトに入社して最初の8年間は日本でCPA(公認会計士)として働いていました。その後デトロイト事務所に異動し、自動車会社のシステム監査に約2年間携わっていたいんですよ。
ブース:それは知らなかった! いつごろのお話ですか?
丸山:1998年から2000年までですね。それから日本に戻りセキュリティやIT内部統制に関するコンサルティング業務をし、かれこれ15年になります。
ブース:私は、これまで多くのテクノロジー関連企業・通信関連企業・インターネット関連企業を顧客としてきましたが、その間にサイバーセキュリティの世界を知るようになりました。
丸山:ジャックはオランダのデロイトに所属しています。サイバーリスクに関してオランダ特有のことってありますか? またはヨーロッパ独自のこと。
ブース: プライバシーの問題でしょう。セーフハーバー協定(安全港協定)と愛国者法に則った、アメリカの規制に対するEUの規制も特徴的です。
丸山:プライバシーの保護ですね。
ブース:はい。ヨーロッパは独自の汎欧州セーフハーバー協定を創りたいと考えているのですよ。ですから、プライバシーはとても重要なテーマです。
丸山:日本でもEUのデータ保護法は大変重要視しています。実際、多くの企業がヨーロッパで膨大なデータを抱えていますから、ヨーロッパのプライバシー法に関心を寄せています。難しい問題です。
ブース:オランダに関して言えば、17世紀、オランダの貿易商人は東方に航海して日本に辿り着き、日本と貿易をしようと上陸しました。我々はコーヒーや紅茶などの品物を売買し、買い付けた品物をヨーロッパで取引するためにオランダに持ち帰った。このように17世紀~18世紀、オランダ人は貿易をするため、西へ東へ南へと、世界中を航海していました。そして、少し後の19世紀~20世紀には、ロッテルダム港は海上交通の大きな拠点となり、日本やシンガポールなどあらゆる国の船舶が行き交っていました。
丸山:常にモノや人が交差するところだったというわけですね。
ブース:今日、取引や輸送はインターネットを介して行われますが、アムステルダムには世界的に主要なインターネットの拠点があるため、オランダはインターネットデータのやり取りにおいて極めて重要な役割を担っていると言えます。
丸山:アメリカからアムステルダムを経由して日本・中国・アフリカへとデータが送られていくんですよね。
ブース:17世紀には船が積荷を積んでロッテルダム港と日本の間を行き来していたのが、現在はインターネット上でデータが行き来しているということです。ですので、当然のことながら、サイバーセキュリティが重要な課題となっています。
丸山:オランダの戦略ですね。
ブース:少しだけオランダを宣伝させていただきました。これでオランダの観光協会の一員になれるかもしれません(笑)。
こちらもチェック
『マイナンバー導入にあたって企業や地方自治体等に求められる対応』など、デロイトトーマツ サイバーセキュリティ先端研究所ではサイバー、情報セキュリティに関するさまざまなコンテンツを公開しています。
→→ デロイトトーマツ サイバーセキュリティ先端研究所
役員室からファイアーウォールまで
丸山:今回の来日でジャックに講演をしてもらったんです。その時に、「役員室からネットワークへ」と話していましたね。これはいい言葉だなと思って。
ブース:「役員室からネットワークまで」そして「役員室からファイアウォールまで」です。
丸山:けっこう飛びますね(笑)。順に聞いていきましょうか。まずは役員を説得しなければならないっていうのは、万国共通です。役員、経営層を説得するにはどうするべきと考えていますか?
ブース:当たり前の話ですが、情報セキュリティに投資するだけでは最終的に利することはないので、どうしても経営層の理解を得ることができない。定量化されたリスクに見合ったリターンを得られなければならないわけです。サイバーに対する投資とリターンについて真剣に考えようとすると、リスクポイント、即ちリスクの定量化が必要不可欠になってくるんですが、これが難しいんです。
丸山:そう、実践が難しいことが課題ですよね。どうしたら成功するんでしょうか。
ブース:サイバーリスクの定量化モデルの様々な構成要素を検討することです。期待損失のことも考えなくてはならないし、どのような脅威があるのかも考えておく必要がある。これに関しては、デロイトでは脅威インテリジェンスを使っています。また、どのようなことが起こり得るのか、誰が自社のデータを欲しがる可能性があるかということも知っておく必要があるでしょう。非常に複雑で大変な仕事ですが、これをやらなければなりません。
丸山:企業の役員向けには情報の可視化が大変重要ですから、ダッシュボードが鍵となりますね。
ブース:ですね。
丸山:ダッシュボードにはどのような情報を載せると良いでしょうか?
ブース:VaRに関する情報はもちろん、定量化モデルに関連する情報、脅威の状況、サイバー脅威インテリジェンスなどです。私達のもとにも日次・週次でそのような情報が届くのでお分かりですよね。サイバーリスク業務が上手くいっているかどうかを確認して脆弱性を評価するのです。
丸山:なるほど。このインテリジェンスダッシュボードは現在、どれくらいの数の会社が使っているんですか?
ブース:この定量化モデルはデロイトだけのものではなく、世界経済フォーラムが開発した、誰もが使えるものですので、他社も同じモデルを使用しています。デロイトではこれを商用化してアドバイザリーサービスの一環として利用しており、現在オランダからは約10社と協働しています。
丸山:日本では銀行とメーカーの2社で導入実績がありますが、まだ運用を開始したばかりです。
ブース:これは全く新しい、イノベーティブな考え方ですからね。
丸山:もしその2社が10年使い続けたら、この定量化モデルは今よりずっと役立つものになると思っています。最初の年は不十分なデータで始めましたから。不正確なデータもあったかもしれません。しかし10年、15年と使えば大分違ったものになるはずです。
ブース:この定量化モデルやサイバーリスクの議論を企業の役員室に持ち込むところがまさに、デロイトと他社との差別化ポイントですよね。多くの技術的なIT企業はサイバーセキュリティをサービスとしていますが、サイバーセキュリティはサイバーの世界の一部にすぎません。一方デロイトはサイバーリスクを戦略的価値創造の一面と捉え、サイバーリスクをサービスとしています。我々にはビジネスが分かりますから、まずはビジネスのことを考えた上で、そこから技術的な面を検討していくのです。サイバーセキュリティの技術的な側面は、サイバーリスクサービス全体のほんの一部なのです。これが、サイバーリスクに重点を置いているデロイトと、サイバーセキュリティに重点を置いている技術的なITサービス企業との決定的な違いです。
丸山:僕ら身内で褒めあっていても仕方ないのですが(笑)、本当にジャックの言う通りなんですよ。僕らはサイバーリスクの議論を役員室に持ち込もうとしているし、それができる数少ない企業だと思っています。
信頼されているからこそ役員室へ入れる
丸山:現在サイバー分野で世界的に問題となっているのはどのようなことでしょうか?
ブース:まずはアウェアネス。個人のレベルで、経営者のレベルで、政府のレベルで、まだまだ意識の改善が必要ですね。
丸山:世界的に、どのレベルにおいても意識がまだまだ低いと。意識を高くしていかないといけない。
ブース:あとはガバナンスの問題です。日本の政府があって日本の法律や規制があるといった具合に、現在の法律や規制のほとんどは国家・政府に基づいています。アメリカでも中国でもロシアでも同じです。しかし、インターネットに国境はありませんので、そもそもそのような法律や規制はサイバーの世界には合わないんです。これは極論すれば、何も規制していないのと同じことです。日本がハッカーからサイバー攻撃を受けたからと言って、その攻撃が日本国内から仕掛けられたとは限らないのです。
丸山:日本でも越境データ問題というのが問題提起されていますが、やはり一部の人の間でしか共有されていないです。これもアウェアネスとガバナンス、両方の問題に根ざしていますよね。次の5年間、企業はサイバー分野では何をすべきでしょうか?
ブース:まずはサイバーリスクの定量化モデルを導入していくことでしょうね。我々もとても忙しい5年になるでしょうね。
丸山:役員室からファイアウォールまで、ですね。人材はいかがですか?
ブース:人材はいつでも大きな課題ですね。デロイトは最高の大学から最高の人材を採用するべく多大な力を注いでおり、彼らをサイバーセキュリティのプロフェッショナルに育てるべくスペインやアメリカやイギリスのサイバーアカデミーで教育しています。
丸山:デロイトにはサイバーセキュリティのプロフェッショナルが3000名以上いますね。去年の6月に各国のリーダーでカウントしたところ、トータル3500名にのぼりました。
ブース:非常に大きなチームとなりましたね。素晴らしいことです。
丸山:はい。日本にはまだ少ないのですが、グローバルのサポートお蔭で大きな仕事ができるようになりました。日本ではまだまだデロイトは監査法人のブランドというイメージが強いのですが、オランダではどうですか?
ブース:もちろん、オランダでもデロイトは監査法人として知られていますよ。我々のブランドの非常に重要な一部であり、私たちがどんなにセキュリティに力を入れても、そこからは決して逃れられない(笑)。もっとも、監査があるからこそ我々は企業から信用・信頼を得て、役員室へも入れるわけですからね。監査法人であることは素晴らしいことです。しかし我々は、アドバイザーとして顧客企業においてサイバーリスク体制を構築し導入するコンサルティング事業も手掛けています。日本ではどうか存じませんが、デロイトにおける監査ビジネスは全体の50%未満です。
丸山:日本では現在ほぼ50%です。
ブース:なるほど。我々はサイバーリスクに関するアドバイザーですが、監査法人として培ってきたブランドや技術は今後も重要であり続けると思います。繰り返しになりますが、それらがあるからこそ、我々は企業から信用・信頼を得て、役員室へも入れるのですから。しかし、あくまで50%未満です。
丸山:ブランドはとても重要ですね。以前は監査法人だけでしたが、今ではそれにアドバイザリーコンサルティングとフィナンシャルアドバイザリーも加わりました。ブランドミックスですね。
ブース:アメリカでは既に監査が20%、アドバイザリーが80%です。
丸山:信頼されているからこそ、役員室に入れる。そして、技術的にも高い知見をもっている。まさに「役員室からファイアウォールまで」ですね。またお話を聞かせてください。今日はありがとうございました。