【サイバーセキュリティに取り組む組織力】第1回 セキュリティ対策の再点検|まずは社長から
こんにちは。
長い長い夏が終わったかなと思ったら早くも冬っぽい気温の日が続き、蔵王連峰には初冠雪が観測され、秋はどこに行ってしまったんだろうと思うような日々。スキーヤーである私にとって積雪はウェルカムですが、秋が短いのは少し寂しい感じがします。
さて相変わらず巷ではサイバー攻撃のニュースが日々聞かれますが、裏返せばIT活用が企業運営上の必須要素になっていて、ITに何らかの障害が出ると攻撃を受けた企業だけでなくサプライチェーン上の繋がりがある多くの企業に影響が出るということです。
詳細な攻撃の経緯を公開してくれているケースの中身を見るにつけ、守り方の基本形みたいなもののうち、初歩的な必須事項が実施されていないことが原因となっているものが少なくないことに気づきます。
私は1年半前に前職を退社した後、様々な企業をIT/DX/セキュリティの側面から支援する仕事を続けてきましたが、実はその中でセキュリティ戦略の整備状況に企業間で大きな差があるということを実感しました。
止まないサイバー攻撃に対して各社で対策が打たれているにもかかわらず、大手企業までが被害を受け、しかもサプライチェーンの復旧に長い時間がかかる状況を見ると企業におけるサイバーセキュリティへの取り組みの在り方をもう一度見直す必要があるように感じます。
高い専門性をもったエキスパートが水平分業してそれぞれの役割をこなす、ある意味ギグのような集団を構成して攻撃を仕掛けてくる今日のサイバー攻撃。そんな自社に対して牙をむく犯罪者たちとどう対峙するかは、相手が進化し続けていることもあって一筋縄では行かない難しい課題です。
一方でサイバーセキュリティはすでによく研究されてきた分野であり、その成果としての守りの定石が公開されている分野でもあります。言い換えれば先人の知恵の塊としての「守りの方」ですね。
攻撃の起点となるポイントは多岐にわたるため、企業がとるべき守りは「守りの方」に沿って俯瞰的にバランスよく進めることが肝要です。ありがたいのは、この原則が企業規模の大小にかかわらず有効であるという点です。
しかし企業において「守りの方」を理解して、自社のセキュリティ戦略を立案、実行することができる推進役を確保すること自体ができないケースも少なくありません。
推進役が確保されていたとしても、社内システムのアーキテクチャが複雑で守りにくい状態のケースもあります。“うちの部署はこのツールじゃなきゃ仕事にならない”的な既得権者が幅を利かせる組織風土だと、長い時間をかけて社内システムはスパゲッティのような状態になり、守るべきポイントが大幅に増えてしまいます。
さらに推進役を採用するにしても、ツールを導入するにしてもセキュリティ対策は何かとお金がかかります。しかし対策をどれだけ打っても売り上げが伸びることはまずない、でもやらなきゃ大きな損失のリスクになる。営利団体である企業組織において儲けにつながらないことにお金を使う決断ができるのは社長だけです。
従って、企業におけるセキュリティ対策のスタートラインは社長自身がセキュリティ対策にコミットし、経営資源(ヒト・モノ・カネ)を用意することです。
社長が経営資源を確保したら、次はセキュリティ責任者を任命する必要があります。
専任のセキュリティ責任者を任命するのか、別のミッションも持つ人物を任命するのかは企業の事情によると思います。一般論ですが、企業規模が大きくなるにつれて専任化する傾向がみられます。
セキュリティ責任者をCISO(※1)と呼ぶ企業もありますし、CIO(※2)がCISOのミッションまでカバーする企業もあります。この辺りの組織編成は企業ごとに味付けが違って当然ですが、大切なのは誰がセキュリティの推進責任を負うのかが明確にされることです。
ここまでお膳立てすれば、そこから先はセキュリティ責任者が実務を推し進めることができます。残る社長の役割はセキュリティ責任者から報連相を受けて適切に対応することです。
今回お話した通り、企業にとってのセキュリティ対策における最初の防御策は社長が自覚を持つこと、その上で専門性を持ったセキュリティ責任者に明確な指示とリソースを与える事です。そこがスタートラインなので、まだスタートラインについてないと思う会社の社長さんは「うちはダイジョウブ」みたいな根拠のない幻想を捨てて、まずは前述の社長にしかできない仕事をして頂きたいです。
このブログにおけるセキュリティ対策の骨子は以下の通りです。
- 社長の自覚(今回のお話)
- 自社のビジネスにおける守るべき資産とリスクの特定
- 定石(守りの方)に沿った実力評価とセキュリティ戦略の立案・執行サイクル
ちなみに弊社では前述のような困った状況にある企業を支援する各種サービスを網羅的に展開しています。もしこのブログをお読みいただいているあなたが、自覚なき社長の下で働いているのであれば、社長に自覚を促すところからの支援も可能です。
気軽にご相談ください。
次回からはセキュリティ責任者が果たすべき役割について書きます。
※1 CISO:Chief Information Security Officer
※2 CIO:Chief Information Officer
以上
村田 すなお
北海道大学卒業後、デジタルテクノロジーを軸にして国内大手精密機器メーカー2社に勤務。新規拠点立ち上げのためのカナダ赴任や事業加速のためのM&A推進などの経験を経て、2014年以降は執行役員として経営全般に関わる。キャリア後半ではCIOとしてグローバルなIT推進全般を遂行、業務システム、ITインフラ、サイバーセキュリティ、AI、DXなどの戦略立案、企画、設計、運用などを指揮。
お問い合わせはこちら