企業の情報システムから情報が盗まれる。エネルギー施設や医療機関など社会の重要インフラが停止に追い込まれる。社会のデジタル化が進む一方で、サイバー攻撃による被害は、年々、深刻さを増している。

　こうした状況を受けて、様々なセキュリティ対策が登場し、企業や組織に向けて提案されている。従来型の境界型防御から、何も信用しないことを前提にする「ゼロトラスト」へ、被害が発覚した後、いかに復旧するかを意識した対策へなど、攻撃や被害の傾向に合わせた対策のシフトも進んでいる。

　だが、セキュリティ対策で最も重要かつ大前提となるのが、経営とセキュリティを一体的に捉えるトップマネジメントのリーダーシップである。そのことは経済産業省と独立行政法人情報処理推進機構（IPA）が策定した「サイバーセキュリティ経営ガイドライン」でも指摘されている。

　そこで次ページから、JNSA（日本ネットワークセキュリティ協会）の副会長を務める高橋正和氏と、NECのセキュリティを統括するリーダー2人のキーパーソンの対談を通して、最新のサイバーセキュリティ経営について解説していく。技術的な知識やスキルも求められるセキュリティと経営をどのように結び付けていくのか。その解決の糸口となるのが「データドリブン」なアプローチである。

セキュリティは経営層がリードせよ！　具体的な役割と関わり方とは

淵上：私が統括しているNECのサイバーセキュリティ戦略統括部は、いくつかの役割を担っています。1つはNECが提供する製品やシステム、サービスへのセキュリティ実装を徹底するための活動。そして、もう1つがインシデント対応です。NECだけでなく、NECのお客様も含め、様々な環境で起こったセキュリティインシデントへの対応をサポートしています。

　「万全と思われる対策をしていたのにインシデントが起こった」「十分な対策をしていたとは言えなかった」など、インシデントが起こった経緯や背景は様々ですが、多くのインシデントを見てきて、改めてセキュリティと経営について考えるようになりました。「セキュリティは経営課題」と多くの人が口にします。また経済産業省とIPAは「サイバーセキュリティ経営ガイドライン」を策定し、経営者がサイバー攻撃のリスクを理解し、対策をリードすることが重要と明言しています。では、具体的に経営者、そして経営者と共に企業を支える経営層は、セキュリティをどう捉え、どのように関与していけばよいのでしょうか。

　そのヒントにしたいのが、高橋さんをリーダーにJNSA（日本ネットワークセキュリティ協会）CISO支援ワーキンググループがまとめたCISO（Chief Information Security Officer）向けの「CISOハンドブック」です。技術的な解説と並んで、把握が難しいと考えがちなセキュリティの費用対効果、指標化について言及しています。ここまでセキュリティと経営に踏み込んだ資料を、私はほかに知りません。どのような考えでハンドブックの作成に臨んだのでしょうか。

高橋氏：私は、2000年ころからセキュリティに関する仕事に従事し、現在はPreferred Networks（PFN）という企業に所属し、CSOを務めてきました。JNSAでは副会長を担い、ご紹介のCISO支援ワーキンググループを立ち上げました。

　CISOハンドブックの作成に着手したのは、淵上さんの言う通り、そのような資料が見当たらなかったからです。例えば、セキュリティ製品は「検知率99％」のようなフレーズで、いかに優れた製品かをアピールします。しかし、その強みによって、経営者が最も知りたいはずの「具体的にどれくらいの損失を防ぐことができるのか」までは計ることができません。技術や規範の視点ではなく、業務執行としてセキュリティを捉える、それを具体化したいと考えたのです。

後藤：私は、NECグループのセキュリティCoEのビジネスリーダーとして、お客様のセキュリティ戦略策定支援から導入・運用・監視・対処までEnd to Endで支援 しています。セキュリティが経営課題と言われるようになり、経営層と話す機会も増えましたが、確かに経営層が気にするのは検知率などではなく、何が守れるのか、セキュリティ運用がどう変わるかといった経営への影響や貢献度ですね。できるのであれば、セキュリティ対策の導入効果は擬似的にでも算出して金額で示したほうが分かりやすい。最近、NECは、そのことを意識して提案をまとめるようにしています。

同じ言葉で会話をすれば互いの主張が分かる

淵上：経営者および経営層がセキュリティをリードする。それを実践する上でCISOというポストは、セキュリティを理解している人が就くべきでしょうか。あるいは、経営を理解している人がセキュリティのことを新たに勉強して就くべきでしょうか。

高橋氏：私は、セキュリティを理解している人がCISOに就き、経営に参加するほうがよいと考えています。例えば、セキュリティ対策をリードできる稀有な経営陣に恵まれたとしても、その人が去ってしまうと、また経営陣とセキュリティの距離が離れてしまいます。しかし、セキュリティを担う方が事業や経営を学びながらCISOを務めることで、継続的に経営にセキュリティを組み込むことが期待できます。DX（デジタルトランスフォーメーション）の旗振り役であるCTO（Chief Technology Officer）などは、そのように人選している企業が多いのではないでしょうか。

淵上：では、セキュリティ知識を評価されCISOになった人は、どのようなアプローチで経営に参加していけばよいのでしょうか。

高橋氏：それほど難しいことではありません。自社が何を目標とし、どんな資産やリスクを抱えているかを理解した上で、セキュリティ対策を評価すれば、おのずと足りない対策や取り組みが見えてくるので、それを経営者に対して提案する。これを繰り返すことで、徐々に経営のプロトコルが理解できるようになり、経営にセキュリティの視点が浸透することにつながります。

後藤：NECは、経営とセキュリティのギャップを埋めるためにセキュリティを見える化するデータドリブンなアプローチを提案しています。サイバー攻撃の状況やリスクをデータで可視化。経営者をはじめとする経営層とCISOおよびセキュリティ運用者が、それを共有しながらコミュニケーションを取ることで、経営者はCISOの進言の背景を理解し、CISOは経営者がリスクをどのように見ているかを理解する。セキュリティの可視化は、経営にセキュリティの視点を取り込む大きな助けになります。

淵上：経営者とセキュリティ運用者の主張が合わない。その原因は、情報を共有しておらず、お互いに見ているもの、使う言葉が違うことにあるのかもしれませんね。

後藤：NECは、サイバーセキュリティに関する情報をまとめたサイバーセキュリティダッシュボードを開発し、経営者から新入社員まで、誰もが共有できるようにしています。例えばNECグループが受けている攻撃の数や種類、不正メール、発見されたリスクと対処すべきアクション、専門家による侵入テストの結果や、第三者機関によるセキュリティ対策の成熟度の評価、競合他社との比較、ランサムウエアに感染するリスクなどが表示されています。分かりやすさを特に意識しており「脆弱性のうち、何パーセントが未解決か」など、可能なものは数字で表示するようにしています。

高橋氏：データによるセキュリティの可視化は、CISOハンドブックでも提唱しています。自社の対策状況だけでなく、受けている攻撃の状況、さらには侵入されてしまった可能性などを評価し、可能なものは数値化するのが理想的です。それを材料にすれば、合理的な意思決定を行えるようになります。あらかじめ決めたルールを100％守っていても、それが100％の安全性を示しているわけではありません。直面している脅威状況を、きちんと理解する必要があります。

　また、CISOハンドブックでは、情報セキュリティを経営戦略や事業戦略に展開する手法としてバランストスコアカードを用いたアプローチも紹介しています。バランストスコアカードは、KPIの関係性を構造化することができます。経営計画とセキュリティ戦略をリンクさせる上でも有効に機能するはずです。

NEC自身の経験を生かしたサービスを提供

後藤：NECは、先ほど紹介したサイバーセキュリティダッシュボードをはじめ、データドリブンなセキュリティアプローチに大きな手応えを感じています。そこで、そのノウハウを生かした「データドリブンサイバーセキュリティサービス」を提供し、お客様のセキュリティリスクマネジメントも支援しています。お客さま環境のセキュリティ運用・監視データや脆弱性・脅威情報をデータレイクに収集し、ダッシュボードを通じてサイバー攻撃や対策の状況を容易に可視化することで 、サイバーセキュリティ経営に役立てていただけます。

　日々の監視やインシデント対応をNECに任せることも可能です。データを通じて、攻撃の傾向を把握し、それを基にNECが改善策の提案や実際のシステム導入をサポートすることもできます。End to Endでデータを起点にしたセキュリティリスクマネジメントの実現を支援します。

淵上：セキュリティ対策において経営者や経緯層がどのようにリーダーシップを発揮していくべきか──。そのことに悩んでいる企業は少なくなさそうです。経営とセキュリティを結び付けることができるデータによる可視化は、サイバーセキュリティ経営の有効な手段となりそうですね。

このコンテンツは日経BPの許可により、2023年に「日経ビジネス電子版」に掲載された記事体広告より抜粋、再編集して作成したものです。禁無断転載