日本マイクロソフトは3月12日、「サイバーセキュリティ月間(2月1日~3月18日)」に合わせて企業や団体のビジネス意志決定者向けにセキュリティを啓発する「Microsoft Security Forum 2020」をオンラインで開催した。基調講演では各界のセキュリティリーダーらが、デジタルトランスフォーメーション(DX)とセキュリティのつながりについて語った。
今回のテーマは、「2020年からのセキュリティ マイクロソフトの考えるデータファースト、デジタルガバメント」というもの。政府が2019年11月に提唱した「デジタルガバメント実現のためのグランドデザイン」では、ユーザー体験やデータ活用を最優先とし、政府情報システムのクラウド活用など積極的なIT化を示している。
日本マイクロソフト 技術統括室 チーフセキュリティオフィサーの河野省二氏
この施策に対してマイクロソフト技術統括室 チーフセキュリティオフィサーの河野省二氏は、「現在はリアルタイムに情報を得て適用する動的なポリシーの運用もできるようになり、常に健康な状態を維持する『Self-healing』によって、レジリエンス(回復力)を実現すべきだ。Business Sustainability(ビジネスの持続性)を忘れてはいけない」と述べた。業務を継続しながら、脆弱性対策を施す意義などを紹介した。
政府のセキュリティ対策で中心的な役割を担う内閣サイバーセキュリティセンター(NISC)は、「Society 5.0」に向けた戦略の策定など多くの施策を推進してきた。「Society 5.0に向け取り組むべきサイバーセキュリティ対策」と題して講演したNISC 副センター長 内閣審議官の山内智生氏は、企業のセキュリティ対策状況について、「経営層はデジタル化とサイバーセキュリティの確保が担当者の業務だと認識し、中期経営計画や企業方針に記載がない」と指摘した。
内閣官房 内閣サイバーセキュリティセンター 副センター長 内閣審議官の山内智生氏
経営企画部門も場当たり的なセキュリティ対策にとどまるとし、「このようなケースでは、担当者も運用や保守に追われる日々で疲労し、萎縮してしまう」(山内氏)と警鐘を鳴らす。さらに、現実に即さず現場も認識していないセキュリティポリシーの策定や、BCP(事業継続計画)でも各部門との連携を検証せずに、危機発生時に発動できないケースがあると提起している。
山内氏は、レガシーシステムを含めたDXを推進させる重要なポイントとして、「DX推進システムガイドラインの策定」「見える化指標、中立的な診断スキームの構築」「DX実現に向けたITシステム構築におけるコスト・リスク低減のための対応策」「ユーザー企業・ベンダー企業間の新たな関係」「DX人材の育成・確保」の5つの要素を提示した。
講演では、特に人材へ焦点を当て、「経営層は自社の経営計画にサイバーセキュリティが生じるリスクを理解し、経営企画部門も損失範囲を把握して対策・投資の優先順位を決める。これらの概念がトップマネジメントにある場合、担当者はリスク分析を行うことで、障害発生時の対応策を把握できる」と提案した。
その上で、企業全体に適切なセキュリティポリシーの策定と運用――つまり、知的・集約的な業務に人的資源を投資し、適切な評価軸やキャリアパスを提示することで、企業のDX推進が加速すると分析する。
資生堂 情報セキュリティ部長(最高情報セキュリティ責任者)の斉藤宗一郎氏は、「セキュリティはリスク管理」と定義し、同社では米トレッドウェイ委員会支援組織委員会(COSO)が提唱する「Three Lines of Defense(3つの防衛線)」モデルを導入していると紹介した。
資生堂 情報セキュリティ部長の斉藤宗一郎氏
これは、組織部門を「現業」「管理」「内部監査」に分類し、それぞれにリスク管理の役割を担わせることで、内部統制を実現する枠組みである。具体的には、リスクオーナーとしてリスク管理を行う「ビジネスオーナー/システムオーナー」、リスクに対する監視を行う「スタンダードセトラー」、合理的な保障を提供する「アシュアランスプロバイダー」の3つの防衛線を定義する。
斉藤氏は、「このように一線・二線・三線の三権分立が正しく機能しているか否かで、セキュリティの健全化を図れると考えている」と語る。だが、社内の関心度の低さやセキュリティポリシーの策定に要する現場の理解度、それらが形骸化しないための対応など、幾つもの課題を抱えているという。「各国のリスクマネジメント部門に限らず幅広い部署の担当者に会い、巻き込みを図る工夫を行っている」(斉藤氏)と活動の一部を披露した。
最後に登壇した日本経済団体連合会(経団連) デジタルエコノミー推進委員会 企画部会長の浦川伸一氏は、DXの成功の鍵を握るのは「日本発DXの理解」「ユーザーIT部門の復権」「DX-Ready(Security-Ready)の理解」の3つの要素だと語った。同氏によれば、日本企業はビジネス部門とIT部門が分断化しており、ダイバーシティー(多様性)やインクルージョン(包含)、フラット社会、リカレント教育の不足など、DX化における不足要素が顕在化している。
日本経済団体連合会 デジタルエコノミー推進委員会 企画部会長の浦川伸一氏
このような背景を鑑みつつ同氏は、「『どのように欠点を解決するか』と取り組むのは日本人的な発想だが、『もっと前向きに行こう』というのが中西会長(経団連会長の中西宏明氏)の方針」と述べながら、“令和維新”を提唱した。
浦川氏が日本の企業文化に則したDX推進策として提起するのは、「経営層の深い理解」、ベンダー任せにせず自らシステム構築する能力を有する「IT部門の確実な改革」、デジタル活用でビジネス変革を実践する「全社ITリテラシーの改革」の3つの要素だ。これらを人材および組織改革の目標にする。さらに、経団連のビジョン&戦略として、企業単独ではなく複数の企業による「協創前提のDX構想」や、DX-Readyな企業へのシフトを目指す「中長期的なLX(レガシートランスフォーメーション)・DX実施」の2要素を挙げ、経済産業省などと連携しながら“令和維新”を推進すると説明した。
その一方で浦川氏は、DXの概念が「欧米諸国発のトレンドであり、ベンダーへの依存体質の強い日本では、DX推進の足かせになっている」とも指摘した。企業のDX推進を目指す「DX-Ready」を実現するには、「AI(人工知能)やアジャイル、クラウドも重要だが、それを支えるのがセキュリティだ」と話し、経営層やマネージャー層におけるセキュリティ理解度の向上をうながした。