今、CIO／CISOが持つべき視点とは？
セキュリティー投資への理解を得る方法

　多くの経営者が、セキュリティーを経営課題と捉えるようになっている。ただ、セキュリティー予算や人員を戦略的に増強している企業・組織はまだ少ないようだ。

　「この状況でCIO／CISOの重要な役目となるのが、セキュリティー投資に対する経営層の理解を得ることです」とバリュエンステクノロジーズの木戸 啓太氏は語る。バリュエンスグループ各社へのシステム導入やアプリ開発を担う同社は、その経験を通じて培った知見と技術を活用し、AI活用やDX推進に関するソリューションを提供。最近はAIチャットボット「helpmeee! KEIKO」をリリースするなど、生成AI技術で社内ヘルプデスク業務の効率化を支援している。

　「私はグループ外のお客様からも相談をいただくことがあります。そこで感じるのは、経営層からの『セキュリティー投資はいつまで続ければよいのか』という質問にどう回答すべきか分からず、戸惑っているセキュリティー担当者が多いということです」（木戸氏）

　実際、インシデントを経験したことのない企業の経営者は「うちは大丈夫だ」と考え、セキュリティー投資を削減しようとするだろう。しかし、今は安全でも、永久にサイバー攻撃を受けないという確証はない。これは業種や企業規模によらずどの企業でも同じだ。

　「セキュリティーに対する経営層の誤解を解くためには、『攻撃を受けるとどのくらいの機会損失が発生するか』などを金額で可視化して、明示することが重要です。私が相談を受けたケースでは、合わせて3年間の対策ロードマップも作成し、より具体的なイメージを持っていただくようにしています」と木戸氏は説明する。

　この考え方のもと、バリュエンステクノロジーズのIT部門もグループのセキュリティー強化に向けて継続的に取り組んでいる。「進捗管理と問題解決」「知識と技術の向上」「円滑なコミュニケーション」「セキュリティー意識の強化」という4つの指針に基づき、会社全体のセキュリティー強化、業務効率向上を図っているという。

　「半年に1度、半日を費やして課題を徹底的に洗い出します。その上で、目指すべき姿を示すロードマップを毎年作成し、さらにシステム構成図にまで落とし込みます」（木戸氏）。これを基に、具体的に何のツールを導入したいのか、その目的は何か、どの程度のROI（投資利益率）が見込めるのかなどを経営者が理解しやすい形にまとめる。ROIに関しては「セキュリティー対策の原価」と「インシデント発生時の損失額」の比較を記載することで、より分かりやすくするよう工夫しているという。

　「このように、ビジネス成長に貢献する視点を持つことが、これからのセキュリティー担当部署にとって非常に重要だと考えています」と木戸氏は強調する。

　バリュエンスグループが目指しているセキュリティーの方向性が「ゼロトラスト」だ。これを実現するため、同グループは「Netskope FW」を中核ソリューションとして採用した。多彩な脅威対策機能をクラウド型で提供するFWaaS（Firewall as a Service）である。

　「事業拡大に伴い、当社の社員数は年々増えています。マルウエアのダウンロードやフィッシングサイトへのアクセスといった、業務上のWebアクセスに伴うリスクを低減するため、新たな仕組みを導入しました」と木戸氏は採用理由を語る。

　Netskope FWを活用することで、組織内からインターネットに対するアウトバウンド通信のすべてのポート／プロトコルを対象に、きめ細かなセキュリティーポリシーを適用できる。WebプロキシでWebアクセスを監視し、不審な通信やデバイスのアクセスを遮断したり、ファイルサーバー内のデータの安全性を高めたりすることも可能だ（図1）。 　「セキュリティーを担保する方法として、当初は業務委託の方にも社内でキッティングしたPCを配布することを検討しましたが、それには多くのコストがかかります。その点、Netskope FWはBYOD端末にエージェントを導入するだけで済むためコストを抑制できます。こうした考えを分かりやすくまとめて経営層に提示し、新規投資への理解を得ることができました」と木戸氏は述べる。

　将来的にネットワークが一層複雑化した場合でも、Netskope FWを活用することで、自動的にセキュアなゲートウエイ経由で通信できるようにする予定だという。

　また同社は、「Netskope MCS（Managed Cloud Service）」も利用している。これは、高度な運用ノウハウを持つNetskopeのプロフェッショナルが、顧客の環境を監視・分析して支援するマネージド型サービスである。

　24時間365日体制のログ監視・分析や、インシデント発生時の調査支援、顧客ごとに最適な設定チューニング、リスクアセスメントレポートなどのサービスが提供される。これにより、顧客企業がセキュリティー運用で直面する課題を網羅的に解決するものだ（図2）。 　「当社は、バリュエンスグループ全体のセキュリティーを少人数で管理・運用しています。また、ファイアウオールの専門家を擁しているわけでもありません。限られたリソースで適切な設定・運用を行うためには、Netskope MCSのようなサービスが必要でした。同時に、そこで得た知見やノウハウを、私達自身のスキル向上にも役立てていく狙いです」と木戸氏は話す。

　例えば、Netskope FWの設定やチューニングは自社で行っている。専門家のサポートのもと、そのナレッジを徐々に社内に蓄積していくことで、運用を特定の担当者に依存させない体制を目指しているという。

　「IT部門は長年、コストセンターと言われてきましたが、今やそれは正しくありません。リスクを低減することでビジネス成長を支える、組織にとって不可欠な部門です。CIO／CISOおよびセキュリティー担当者の方は、そのことを強く意識すると共に、組織にもしっかりアピールしていただきたいと思います」と木戸氏は強調する。

　バリュエンステクノロジーズが提案する視点は、多くのセキュリティーエンジニアを勇気づけるものといえるだろう。