セキュリティはどのように進化し、ビジネスへ組み込まれていくのでしょうか?

執筆者

Kris Lovejoy

EY Global Advisory Cybersecurity Leader

Cybersecurity guru. Married mother of four. Enjoys diving, hiking and refinishing furniture. Lives in McLean, VA.

4 分 2020年2月18日
関連トピック Giss リスク アドバイザリー

「セキュリティ・バイ・デザイン」の考え方の浸透および推進に取り組むCISO(最高情報セキュリティ責任者)は、ビジネストランスフォーメーションの達成において重要な役割を果たすことができるでしょう。

 EY Japanの視点

システムアーキテクチャの変革期とセキュリティ・バイ・デザイン

働き方改革から始まった企業におけるシステムアーキテクチャの変革は、新型コロナウィルス感染症(COVID-19)の拡大より急激に加速しています。在宅勤務の普及に伴い、基幹システムのクラウド移行をはじめとして、ゼロトラストアーキテクチャへの転換は勢いを増していくでしょう。このような転換期は、セキュリティを最初から組み込む機会です。本調査で推奨する5つのアクションに積極的に取り組み、セキュリティ・バイ・デザインを実践していく時です。
クラウドとオンプレミスが複雑に絡み合う今日のシステムでは、インシデントの発生検知や対応にも相当の労力を要し、高度な技能を有するセキュリティ担当者が疲弊することとなります。高度な自動化やオーケストレーションを提供するSOCに切り替え、これらの人材を本来のセキュリティ業務に転換することが、セキュリティ・バイ・デザインを成功させる鍵となるでしょう。

EY Japan の窓口

ゲスト編集者

松下 直

EY Japan Advisory Cybersecurity Co-Leader

グローバルコラボレーションと協調性を大事にする。週末はテニスとゴルフに興じる。

ゲスト編集者

森島 直人, Ph.D.

EY Japan Advisory Senior Manager

セキュリティガバナンスを中心として管理面から技術面までワンストップでサポート。PADIアドバンスド・オープン・ウォーター・ダイバー。

サイバー攻撃の脅威がますます高まっていることを受け、組織が、サイバーセキュリティやプライバシー保護を強化し、それらを事業戦略の中核に据えて競争力優位を確保することで独自の強みを引き出していくことが非常に重要になっています。しかし、多くの組織が依然として防衛型のサイバーセキュリティ対応を取り続けており、つかむべき重要なチャンスを逃しています。

「セキュリティ・バイ・デザイン」の考え方を組織内で醸成し、推進していくためには、まず、CISOが、ディスラプション(創造的破壊)が進む市場で企業が直面しているビジネスの状況を認識する必要があります。そして、取締役会およびその下にある事業部門のリーダーも、積極的にサイバーセキュリティについて話し合い、関わっていくことが不可欠です。

組織文化を変革していくことは組織全体の使命であると言えます。CISOが、他部門との連携強化を図ることは当然の任務ですが、取締役会や上級経営層もサイバーセキュリティチームとより密接な協働関係を構築することにコミットすることが求められます。組織内の他の事業部門についても同様です。サイバーセキュリティチームが、ビジネストランスフォーメーションの達成において重要な役割を果たしていくためには、このようなアプローチが鍵となるでしょう。

今年のEYのグローバル情報セキュリティサーベイ(GISS)は、以下の3つのポイントに焦点を当てながらサイバーセキュリティ部門の役割の進化について考察していきます。

1. コミュニケーションの構造的な問題

本調査結果により、重大な侵害を引き起こす攻撃者のうち2番目に多いのがサイバーアクティビストだということが明らかになっています。サイバーアクティビストによる攻撃が増加していることを受け、サイバーセキュリティ部門は、自社のビジネス状況をより深く理解することが強く求められています。CISOが十分に組織横断的に各部門と連携していないと、組織を新しい脅威にさらすおそれのある製品やサービスを立ち上げる事業部門やビジネスラインに気付くことができません。

まもなく発行される「EY Global Board Risk Survey」の早期集計結果によると、回答組織は、「テクノロジーディスラプション」を絶好の戦略的チャンスとして捉えています。多くの組織がテクノロジートランスフォーメーションによってこの戦略的チャンスをつかもうとしていますが、そのためにはCISOや取締役会、経営層、事業部門がこれまで以上に密接に連携を図ることが必要です。そうすることで、新規のビジネスプロジェクトの企画・設計段階からサイバーセキュリティを組み込むことができます。これがまさに「セキュリティ・バイ・デザイン」のアプローチです。

「セキュリティ・バイ・デザイン」の浸透はまだ初期段階

36%

新規のビジネスプロジェクトの企画段階からサイバーセキュリティチームが関与していると回答した組織の割合

  • サイバー攻撃とプライバシー侵害の脅威は増加・拡大し続けています。10社中6社(59%)が過去12カ月以内に重大な侵害を経験しています。「EY Global Board Risk Survey」の調査結果によると、48%の取締役会メンバーが、今後12カ月間にサイバー攻撃やデータ侵害による一定以上の影響を受けるだろうと予測しています。このような攻撃の5件に1件(21%)は、ハクティビスト(テクノロジーを活用して政治的・社会的な主張をするためにサイバー攻撃を行うアクティビスト)によるもので、組織的なサイバー犯罪組織(23%)に続いて2番目に多い攻撃者タイプです。
  • 新規のビジネスプロジェクトの企画段階からサイバーセキュリティ部門が関与していると回答した組織はわずか36%でした。
  • サイバーセキュリティ予算は、イノベーションやビジネストランスフォーメーションではなく、大半が組織を守るための経費として使われています。新規のビジネスプロジェクトのサイバーセキュリティ予算の支出先は、77%の組織において、ビジネスチャンスに付随するものではなく、リスクやコンプライアンス面にフォーカスするものでした。
  • 回答組織の5社中1社は、新規のビジネスプロジェクトにサイバーセキュリティ予算の5%以下しか費やしていません。

2. 関係再構築による信頼の醸成

つまり、「セキュリティ・バイ・デザイン」の実践を目指して、CISOがマーケティング、R&D、販売などの他部門と組織横断的に連携を強化して、組織全体のサイバーセキュリティに対する理解を深め、「セキュリティ・バイ・デザイン」を実現させる環境を整えることが必要です。

事業部門との連携強化に注力することは非常に大切ですが、同時に、サイバーセキュリティ部門は、取締役会や経営層、管理職と生産的な関係を構築していくことも欠かせません。

今こそ、関係の再構築に乗り出す時

59%

サイバーセキュリティ部門とビジネスラインの関係について、「中立的」、「信頼していない」、あるいは「関わり合いがない」と回答した組織の割合

  • 74%の組織が、サイバーセキュリティ部門とマーケティング部門の関係について、「中立的」、「信頼していない」、あるいは「関わり合いがない」と回答しました。R&D部門および各ビジネスラインとの関係性についても同様であると回答した組織はそれぞれ64%と59%でした。さらに、予算執行権限において深く関わり合いがある財務部門とも関係が薄く、十分な信頼関係が築けていないと57%の回答組織が感じています。
  • 回答組織の半数近く(48%)が、サイバーセキュリティリスクに対する取締役会の理解不足を指摘しています。また、43%の組織が、取締役会はサイバーセキュリティチームの任務の重要性や必要性を十分に認識していないと回答しました。
  • EY Global Board Risk Survey」の調査で、取締役は自社のサイバーセキュリティ対策に自信を持っていないことが明らかになりました。「自信がない」または「少し自信がある」と回答した取締役は50%にのぼりました。
  • 取締役会の議題としてサイバーセキュリティを定期的に取り挙げている組織は54%にとどまりました。
  • 10社中6社の組織が、サイバーセキュリティ関連の支出やその投資効果を定量化して取締役会に示すことができないと回答しました

3. 変革の推進者としてのCISO

CISOは、事業部門や取締役層との連携を強化して、組織が抱えるビジネス上の喫緊の課題に対する理解を深め、まだ気づいてすらいないサイバー脅威を予測することができれば、組織のビジネス・トランスフォーメーションにおいて重要な役割を担うことができるでしょう。 

そのためには、新しい考え方や、コミュニケーション力、交渉力、連携力など、新たな能力が必要です。新しい取り組みに対して頭から否定・反論するのではなく、いったん納得・賛成してから自身の考えを述べる「そうですね、ただ...」といった形でコミュニケーションをとることができるCISOは、変革の推進者になることができるでしょう。

サイバーセキュリティ機能はイノベーションの足かせとなるという見方が依然として主流

7%

サイバーセキュリティを「イノベーション実現の鍵」だと捉えている組織の割合。「コンプライアンス主導」や「リスク回避」と捉えている組織が依然多数を占めています。


  • サイバーセキュリティをイノベーション実現の鍵だと捉える組織は7%にとどまり、大部分の組織が「コンプライアンス主導」や「リスク回避」だと認識しています。
  • 回答組織の半数近く(48%)が新規予算の支出先は「リスク軽減」だと答え、「コンプライアンス要件」と回答したのは29%でした。一方、「新規ビジネスの実現」と回答した組織は9%にとどまりました。
  • 回答組織の10社中6社が、サイバーセキュリティの責任者は取締役会メンバーあるいは執行役員ではないと答えました。

EYの主な推奨事項

本年度のGISSの結果は、今こそ、サイバーセキュリティをビジネストランスフォーメーションやイノベーションの中核に位置づける時であるということを明確に示しています。これを実現するためには、取締役会、上級管理職層、CISO、全ての事業部門のリーダーが一丸となって取り組むことが不可欠です。以下、EYが推奨する取り組みポイントを5つご紹介します。

  1. サイバーセキュリティをデジタルトランスフォーメーションの実現の鍵にする — 全ての新規ビジネスプロジェクトの企画・設計段階からサイバーセキュリティを組み込む。「セキュリティ・バイ・デザイン」のアプローチを活用して、ビジネストランスフォーメーションや、製品やサービス設計におけるセキュリティリスクを、後付けではなく企画構想段階からコントロールする。
  2. 組織内のあらゆる部門と信頼関係を構築する — サイバーセキュリティチームと共に主要なビジネスプロセスを分析し、サイバーリスクがもたらすインパクトや、事業部門の取り組みを強化するためにサイバーセキュリティチームがどのようなサポートを提供できるのか理解する。
  3. 成果を生み出すガバナンス体制を整える — 経営層および取締役会に対してリスクにフォーカスした報告をする際に引き合いに出すKPI(主要業績評価指標)およびKRI(重要リスク指標)を設定する。
  4. 取締役会の関与・理解を高める — 取締役会が明確に状況を理解できるように説明する。サイバーリスクについて、より効果的に説明できるよう、サイバーリスク定量化プログラム研修を実施する。
  5. CISOが新たに必要なコンピテンシーを分析するために、サイバーセキュリティ機能の有効性を評価する — CISOが戦略を練り直すべきエリアを特定するために、サイバーセキュリティ部門の強みと改善すべき点を洗い出す。
  • 「セキュリティ・バイ・デザイン」とは?

    「セキュリティ・バイ・デザイン」は、サイバーセキュリティを後付けではなく、製品やサービスの企画・設計段階から組み込むという、セキュリティ対策の新しいアプローチです。このアプローチをとることにより、イノベーションの信頼性が担保されます。また、組織のあらゆる面に適用できる、戦略的かつ実用的なアプローチであるため、ビジネスプロジェクトの全ライフサイクルで「セキュリティ・バイ・デザイン」が有効的に働き、セキュリティリスクの持続的な管理と軽減が実現します。

サマリー

EYの本年度のGISSにより、ビジネスとサイバーセキュリティの間には、コンプライアンスの観点から必要な場合を除き、大きな壁があることが明らかになりました。この壁を取り払うためには、まず、CISOが取締役や経営幹部に対してサイバーセキュリティチームの取り組みが事業活動に有益であるということを実感してもらえるように説明する必要があります。そして、事業部門も、サイバーセキュリティを各ビジネスプロジェクトの企画・設計段階から全ライフサイクルを通して組み込むことが不可欠です。

この記事について

執筆者

Kris Lovejoy

EY Global Advisory Cybersecurity Leader

Cybersecurity guru. Married mother of four. Enjoys diving, hiking and refinishing furniture. Lives in McLean, VA.

関連トピック Giss リスク アドバイザリー