日経ビジネス電子版 Special
日経ビジネス電子版 Special 日経ビジネス電子版
経営課題解決シンポジウム ~ セキュリティ編 ~

デジタルトランスフォーメーション時代
求められるセキュリティ対策とは
Review

デジタル・トランスフォーメーション(DX)への取り組みが加速している。これにより、情報の質や量が飛躍的に拡大する半面、セキュリティリスクも大幅に増大した。さらに、クラウドやIoT機器、モバイル活用や働き方改革の進展によって守るべき情報も社内から社外へと急速に広がりつつある。新しい環境の中、多彩かつ巧妙な攻撃をいかにはね返せるか。このヒントを探るべく開催されたのが、「経営課題解決シンポジウム ~セキュリティ編~」である。ここでは、有識者やセキュリティソリューションプロバイダーによる、DX時代に求められるセキュリティ対策について様々な視点からの講演が行われた。ここではその内容を紹介したい。

基調講演

日本経済団体連合会(KEIDANREN)
Society 5.0の実現に向けた経団連の提言
意識改革とリソースの確保が必須命題に
日本経済団体連合会(KEIDANREN) サイバーセキュリティ強化ワーキンググループ 主査 梶浦 敏範氏
日本経済団体連合会(KEIDANREN)
サイバーセキュリティ強化ワーキンググループ
主査
梶浦 敏範
 政府が目指すSociety 5.0は、経済発展と社会的課題の解決を両立する超スマート社会構想だ。この実現には、デジタルデータの活用が欠かせない。あらゆるモノがネットにつながり価値が生み出される半面、サイバー攻撃のリスクも高まる。Society 5.0を目指す上でも、ビジネスの価値創造と危機管理にも、サイバーセキュリティ強化はもはや必須条件になったといえるだろう。

 こうした考えのもと、経団連では2019年5月にサイバーセキュリティ委員会を発足した。現在、約170社が加盟する。この委員会の中にあるサイバーセキュリティ強化ワーキンググループで主査を務める梶浦 敏範氏は次のように述べる。

 「セキュリティ対策は、まず企業自らが主体的に取り組む『自助』、組織や業界を超えて連携する『共助』、政府の情報提供・支援を引き出す『公助』、国境を超えた連携を促す『国際連携』というスキームで進めるべき。そのためには組織全体の意識改革を図る。同時にセキュリティ人材の育成、情報共有、技術対策、投資促進を図る資源循環のエコシステムを形成することが重要です」

 サイバーセキュリティ委員会はこうした活動を進める上でのポイントなどを提言するほか、政府や公的機関への対策・制度整備に関する助言などを行う。

 これに先駆け、経団連では委員会の発足前からサイバーセキュリティ強化を支援する様々な活動を展開している。2017年12月には「Society 5.0実現に向けたサイバーセキュリティの強化を求める」提言を公表。2018年3月には経営層の覚悟表明と理解促進に向けたアクションプランとして「経団連サイバーセキュリティ経営宣言」を公表した。「この宣言はSociety 5.0の実現に向けた前向きな投資としてサイバーセキュリティ対策に取り組む重要性を指摘。サプライチェーン対策や積極的な情報共有、国際連携などを通じて、社会全体のサイバーセキュリティ強化に貢献する点を強調しています」と梶浦氏は説明する。

 また、経営者の意識向上を目的とした経営トップセミナーも適宜実施。サイバーセキュリティを全社的なリスク管理として理解・対処することを促す取締役向けの「サイバーリスクハンドブック」も公開している。

 「経営層はサイバーセキュリティの技術要件を細かく知る必要はありません。しかし、十分な人員と予算を投じて、全社的なサイバーリスク管理の枠組みを確立することは経営層の責務です」と梶浦氏は訴える。取締役会の議題としてサイバーリスク管理を定期的に取り上げ、考え得るリスクへの対処方法に関する具体的計画を進めるべきだという。

 経済は企業活動のつながりで成り立っている。2020年の世界的なイベントを目前に控え、経営層はその提言を重く受け止める必要があるといえるだろう。

パネルディスカッション

利便性とのバランス、体制、予算
セキュリティ・リーダーの
かじ取り法
大成建設株式会社 エグゼクティブ・フェロー(情報企画担当) 柄 登志彦氏
大成建設株式会社
エグゼクティブ・フェロー
(情報企画担当)
柄 登志彦
全日本空輸株式会社 デジタル変革室 企画推進部 情報セキュリティ・基盤戦略チーム リーダー 和田 昭弘氏
全日本空輸株式会社
デジタル変革室 企画推進部
情報セキュリティ・基盤戦略チーム
リーダー
和田 昭弘
 多くの企業が積極的なデジタル活用に取り組んでいる。クラウドやモバイル、IoTなどの活用も進み、保護しなければならないシステムやデバイスが多様化する中、企業はセキュリティにどう立ち向かうべきか。

 全日本空輸(ANA)は、データセンターの多層防御に加え、あらゆるネットワークアクセスを信頼せずに、必ず確認する「ゼロトラストセキュリティ」の導入を検討。「日常業務に脅威インテリジェンスを活用した集団防衛力の強化にも取り組んでいます」とANAの和田昭弘氏は述べる。

 大成建設も同様に多層防御とゼロトラストセキュリティを重視。「さらに、エンドポイントで振る舞い検知を行うEDR(Endpoint Detection andResponse)が重要だと考えています」と大成建設の柄 登志彦氏は話す。

 一方、守りを強固にすると、業務の利便性が損なわれる。このバランスが難しい。大成建設ではセキュリティの標準化から個別最適化へのシフトを進めているという。「人や使い方によってセキュリティレベルを柔軟に変えるという発想があってもいいと考えています」と話す柄氏。例えば、案件ごとに要求されるセキュリティは厳守した上で、ルールの順守度が高い従業員についてはモバイル作業の自由度を高めるといった取り組みを検討している。また、ANAはDX時代の到来に際し、やみくもに禁止ばかりするのではなく「ノーと言わないセキュリティ」を目指すという。「どこまで仕組みで守り、どこまで運用で許容するか。業務部門と歩み寄りながら、ブレーキを踏みすぎないようにしています」(和田氏)。

 両社はいずれもCSIRT(ComputerSecurit y Incident ResponseTeam)を内製化している。ポイントは「人選」と「権限」をどうするかだという。「他部署との交渉や調整が必要になるため、チームリーダーにはコミュニケーション能力の高い人材をアサインすべき」と和田氏。指揮系統、対外対応を含めた判断・実施体制を整え、権限を明文化しつつ、数年ごとに見直している。

 セキュリティ対策の原資となる予算についても、両社は確固とした信念を持つ。ANAは、セキュリティ変化に伴うリスクとやるべきことを経営層に説明し予算を獲得。大成建設は、セキュリティをリスクマネジメントと捉え、ROIにはとらわれず、IT予算全体の中でやるべきセキュリティを考えていくという。

 両社の取り組みは、DX時代に目指すべき企業セキュリティの道標といえそうだ。