日本企業のセキュリティーガバナンスは
“点”での確認にとどまっている
2024年2月のNIST 2.0の発表、各業界の関連法規などを背景に、セキュリティーガバナンスの強化が多くの企業の関心事項になっています。この動向をどのように捉えていますか。
中村先般、米国で開催されたあるカンファレンスに参加しましたが、そこでも多くの企業がセキュリティーガバナンスをテーマに掲げていました。リスクマネジメントや情報資産評価などに関する講演や展示が多く見られ、関心の高まりを感じました。
仲間私は仕事柄、海外の政策関係者と話す機会が多いのですが、そこでも必ずといっていいほどセキュリティーガバナンスが話題に上がります。地政学リスクが高まる中、自国の重要インフラやサプライチェーンの安全性を確保するためには国際連携を図っていくことが不可欠だというのが各国の共通認識。そのためには、自国の状況を正しく把握することが前提になります。日本の政府や企業も、自組織の現状、問題点、インシデント対応状況などをまずはしっかり把握し、他組織に説明できるようになる必要があるでしょう。
一方、日本の企業・組織の取り組みの現状をどのように見ていますか。
仲間私は、ガバナンスを確保「できているつもりになっている」、あるいは「できていることにしている」ケースが多々ある気がしてなりません。中村さん、いかがですか。
中村これは自戒を含めてですが、情報資産管理にしてもセキュリティー監査にしても、ある時点のチェックをクリアすれば「問題なし」としている組織は多い気がします。セキュリティーが“点”の確認にとどまっており、状況や問題をリアルタイムに確認する、“線”や“面”でのセキュリティーガバナンス徹底には至っていない。このような企業は多いのではないでしょうか。
テクノロジーを活用することが
組織文化を変えるきっかけになる
仲間また、この状況を生んでいる背景には「対応困難な問題にはあえて気づかない」「気づいてしまえば些細なリスクも許さない」という考え方があるようにも思います。ゼロリスクを目指す中では問題の存在自体が悪であり、発見すると上司に叱られることさえあります。そのため「できていることにする」という文化が根付いてしまっていると感じています。
中村もちろん、社内規程の整備や体制構築、啓蒙活動などセキュリティーガバナンス強化に向けて積極的に取り組んでいる企業はたくさんあります。また、「できていることにする」文化が自分たちのリスクを拡大するということに、気付き始めたお客様も増えていると思います。
ただ結局のところ、取り組みが“点”に留まっていては限界があります。当社は、セキュリティーガバナンス強化に向けたキーワードの1つが「レジリエンス」、すなわちサイバー脅威にさらされてもしなやかに回復する力だと考えています。これを高めるには、「どこで、何が起こっているのか」を面で把握し、有事に誰がどう動くべきなのかを明確にしておくことが肝心だと思います。
仲間おっしゃる通りですね。これまで面での状況把握ができていないのは、人力では工数的に難しかったことも理由でしょう。しかしながら、デジタルテクノロジーを活用することで無理なく実現できるようになりました。今後、テクノロジーを導入・活用する中で、日本企業の組織文化も変わっていくのではないでしょうか。
その理由について、もう少し詳しく教えてください。
仲間例えば、従来は社内の様々な場所に設置される何千台ものPCがあるとして、その全てが自社のセキュリティーポリシーを守っているかどうかチェックするのは工数的に不可能に近いことでした。しかし、最新のデバイス管理、アセット管理のソリューションを使えば、セキュリティーパッチが当たっていない端末や、許可されていないアプリをインストールしている端末を即座に可視化して把握できます。
現実的な工数の中で検知・対処を実行できるので、問題を発見した人が「面倒なことをしてくれたな」と上司に叱られることもないでしょう。正しい状態を容易に維持できる環境が実現できれば、それが当たり前のこととして文化になっていきます。このように、テクノロジーを効果的に活用することで、セキュリティーの状態をリアルタイムに監視し、あるべき状態に管理し続けるハードルを下げられるのは間違いありません。
グループ企業との連携で
全社のセキュリティーガバナンス強化を図る
また、セキュリティーガバナンスの強化に向けて、経営者はどのような役目を果たすべきなのでしょうか。
中村「どこで何が起こっているのか」を把握したら、次に考えなくてはならないのは「何をしなければいけないのか」について優先順位を含めて検討・判断することです。これは経営意思決定であり、その意味でセキュリティーガバナンスはトップダウンであるべきと私は考えています。
仲間その通りですね。トップダウンであることが大原則ですが、現場に立脚したガバナンスにするためにも現場を把握する必要があり、また、ガバナンスに有用な技術も活用できる土台が必要だと思います。セキュリティーは事業継続に直結するものであり、一方ではシステムの安定稼働やサービス継続を図りながら他方では企業収益などもバランスよく考えることが不可欠です。となれば当然、これは経営者の意志・判断が必要となります。組織外への説明責任が増加すること、そしてテクノロジーを適切に使用すればそれが可能であることを踏まえると、これからの時代、セキュリティーに関する経営陣の関与はますます重要になるでしょう。セキュリティーに経営陣の意志・判断をしっかりと反映できる組織がさらに増えてほしいと思います。
Splunkはセキュリティーガバナンスの啓蒙に日々注力していますが、元々が欧米の考え方をベースとしているため、文化の違いなどから日本のお客様になかなか受け入れてもらえないことがあります。その点、CTCのような日本に根差したパートナーの存在は非常に心強いです。日本企業の文化・実状に沿った知見やノウハウ、高い技術力をお借りしながら、1社でも多くのお客様にセキュリティーガバナンスを含むグローバルの優れた知見・技術の活用を推進させていきたいと思います。
中村こちらこそよろしくお願いします。CTCとSplunkがパートナーシップを組んで約15年になりますが、Splunkの強みは、データに基づいてセキュリティーの状態をリアルタイムに見渡す力だと感じます。そこに当社が得意とするシステムアーキテクチャー構築の力、サポート力を組み合わせることで、日本企業にフィットした形のセキュリティーガバナンスのあり方を提案できると考えています。
