セキュリティ・バイ・デザインとは?成功の道筋を語る~前編:日本企業とサイバー犯罪のDX推進からひも解く組織に求められるリスク管理体制
事業のDX成功にはセキュリティ・バイ・デザインを組織的に実装していくことが必須と言われていますが、多くの組織で乖離があるのが現状です。本稿では、トレンドマイクロ日本地域CISOが、DXの背景や本質から必要な組織体制をひもとき(前編)、具体的な実践にあたってDX担当者の果たすべき役割を手法や技法を交えて語り(後編)、成功への道筋を示していきます。
DXが叫ばれるようになった理由~世界から置いていかれる日本
「インターネット革命」への遅れから日本のデジタル敗戦へ
セキュリティ・バイ・デザイン(Security by Design)とは、セキュリティを後付けではなく、製品やサービスの企画段階から確保するアプローチです。事業のDX成功に向けて必須の考え方と言われていますが、この考え方を組織的に実装できている企業は少ないのが現状ではないでしょうか。
その理由はどこにあるのでしょうかー。
「なぜ今DX推進が叫ばれているか」から改めて考えてみたいと思います。
筆者の経験から思い起こすと、その起点は1996年頃の「インターネット革命」にあったように思います。この頃、筆者は業務の関連で、インターネット・ビジネスが本格化し始めていた米国視察の機会を得たのですが、その視察で米国と日本の大きな乖離を見ることになりました。まず、ビジネスの中心(シリコン・アレー: Silicon Alley)として、ニューヨークのエンターテインメント、通信、広告、金融やデータセンターを視察しましたが、いずれの企業も、「インターネットがビジネスを変える」というコメントをされており、それぞれの業界において従来の常識が覆るという認識をされていることが大変印象的でした。西海岸(シリコン・バレー:Silicon Valley)では、インターネット・ビジネスの基盤を支えるテクノロジー企業を視察し、メインフレームを使ったコンピュータ・プロセスとは全く異なる文化、エンジニアリングに大いに刺激を受けて帰国しました。当時の日本はいわゆる“バブル経済”やアジア通貨危機が企業経営に大きな影響を落とした時期であり、「インターネット革命」の波にしっかり乗って企業戦略の転換を図ることは難しい状況にありました。しかしこのことが、IT分野における日本の立ち遅れ状況を生み出す結果につながったのではないかと筆者は捉えています。
企業規模を示す指標の一つである企業資産総額ランキングでは、かつてはトップ10を日本企業が独占していましたが、昨今ではインターネットの「インフラ企業」が上位を占めています。これは、彼らが2000年以前よりこの「インターネット革命」を見据えた企業戦略に転換できていたことが大きかったと考えられます。
また、この日本のデジタル状況の遅れは「デジタル敗戦」と呼ばれていますが、世界デジタル競争力ランキング※で現状日本は63か国中29位(昨年2021年度は28位)であり、このランキングが日本の実態を表していると言えるでしょう。
※世界的なビジネススクールであるスイスの国際経営開発研究所(IMD: International Institute for Management Development)が、世界63か国・地域を対象にデジタル利活用能力をランキング形式で評価したもの。2022年度で6年目を迎える。
SOCIETY5.0から生まれたDXというキーワード
こうして日本は他の国・地域に対して、デジタル状況に遅れを取っていると指摘されることになったのですが、この「負け」状況に歯止めをかけるために日本政府が提唱した新たなモデルが「Society 5.0」です。サイバー空間と物理空間が融合し新たな価値を創出することで、一人一人の経済活動を濃いものにするという構想です。Society 5.0のコンセプトは次第に各企業にも浸透していき、いわゆるITシステムだけでなく、OTシステムもネットワークを介してデータ連携が図られることで、これまでのような一業界に閉じたビジネス・モデルから、異なる業種間での連携、サプライチェーン全体を結びつけて最適化を目指すような経営手法などが進んできています。
しかしながら世界における競争市場の中で、日本企業にかつてのような輝きを取り戻したいー。その状況を打破するために生まれたキーワードが「DX(Digital Transformation)推進」であり、それを行政機関において進めるために2021年に菅内閣によって新設された省庁がデジタル庁です。米国などのDX先進国では、先述したように「インターネット革命」の時代からデジタル技術を活用した企業経営の変革が経営者の強いリーダーシップのもと推進されており、このように、政府主導で企業のDX推進を行っている国は珍しいと言えます。
改めてDX推進を考える
そもそもDX (Digital Transformation)とは、スウェーデンのウメオ大学教授であるエリック・ストルターマン教授が2004年に提唱した概念です。「ITの浸透が、人々の生活をあらゆる面でより良い方向に変化させる」というその骨子から、日本では「企業が戦略的に変革を実行すること」という意味合いで使われるようになりました。もう少し具体的に言うと、「大企業の中にスタートアップのような開発組織を構築する」、「組織全体をデジタル企業に変革する」、「難局を打開(Disrupt)し破壊的イノベーションを起こす」というようなことを意味します。
ここで大事なのは、「データの利活用」により「新たな価値」を生み、それが(自社にとっての)新たな市場や顧客を生み出すという概念です。従って、従来の市場や顧客に対する価値を生み出すプロセスのIT化などは、DX手前の「デジタイゼーション」、「デジタライゼーション」ということになり、DXではないということです。
生み出される新たなビジネス価値を守る、それがDX WITH CYBER SECURITY
サイバー犯罪者のDX推進
「インターネット革命」の効果は必ずしもプラス面だけではありません。むしろインターネットの急速な普及は犯罪者にとっては恰好の桃源郷になったとも言えるでしょう。サイバー犯罪の最大の特性は必ずしも犯行現場に赴く必要がないことにあります。インターネットと直接ないしは間接的につながっていれば、地球上のどこでもターゲットにでき、犯罪者の物理的痕跡を残さず犯行を実行できるわけです。
そして、サイバー犯罪者はいち早くDXを推進していきました。高い専門知識や技術を持つ犯罪者たちが相互に連携し、犯罪の分業化、サプライチェーン化が急速に進みました。今や、世界中の脆弱なサーバ、漏えいしたアカウントなどの情報はダークウェブを介して犯罪者間で共有・売買され、そうした脆弱性を利用する攻撃ツールもツール作成業者が素早く提供してくれる時代になっています。これにより、犯罪被害のリスクは急激に大きくなっています。
企業によるDX推進により新たな価値が生み出されれば、犯罪者は従来では考えられないようなスピードでターゲットとして狙うであろうことは、言うまでもありません。そのため、狙われていることに気付いてからセキュリティのことを考えるのでは既に遅いことになります。犯罪者たちはDX推進のある意味成功者たちであり、防御側や捜査側に対して圧倒的優位な位置にあることを認識しなければなりません。
だからこそ、企業はDX推進によって生み出す価値の大きさに見合う防御策が必要になります。念願のマイホームを建てて家財を運び込んだ後から鍵を付けるのでは遅いわけです。こうしたことから生まれたのが「セキュリティ・バイ・デザイン」という概念です。そして、それは開発プロセスに閉じた話ではありません。なぜなら、生み出す「価値」を知り、その大きさや失われた際の影響の大きさを把握しているのは、ビジネスサイド(DX推進を企画・推進する部門や事業部門)だからです。セキュリティ・バイ・デザインを担う中核には、彼らが関わることが必須となりますが、残念ながらそれほど簡単に実現できる話ではありません。それはなぜでしょうか?
サイバーセキュリティの主役は誰であるべきか
セキュリティは専門チームの責務か
サイバーセキュリティとは実に幅が広く、かつ同時に技術的には底が深い領域です。この「底の深さ」ゆえに、サイバーセキュリティは高度に専門的な知識、経験、技術を有した「セキュリティ専門チーム」が担うべきという考え方が現在でも一般的であるように筆者には思えます。そしてそれはある意味正しいと言えますが、一方では正しくないとも言えます。それは、サイバーセキュリティの出発点が「守るべき資産は何かを特定すること」だからです。これを実施できるのは、そうした資産(情報、データ、システムなど)を使ってビジネスを行っているビジネス側に他なりません。他方、基本的な対策(例えば、セキュリティポリシー、ルール、セキュリティソフトの利用など)は、資産に関わらず行われるべきで、いわばベースラインとしてのセキュリティ施策と分類することができ、セキュリティ専門チームが担う領域です。
つまり、サイバーセキュリティとは、こうした専門チームが主に担う「ベースライン」に対して、資産の価値の大きさに応じて上乗せすべきセキュリティ施策という二階層構造となっており、ベースラインは「コスト」、上乗せ分を「投資」と考えることができるでしょう。ビジネス側は、自分たちの資産を守る上で追加すべきセキュリティについて、資産に対する影響の大きさを踏まえて適切な追加投資を行うべきかを判断、意思決定するという重要な役割を担っており、サイバーセキュリティの主役は「セキュリティ・チーム」+「ビジネス・チーム」と定義づけすることができるでしょう。
セキュリティの取り組みは、ある意味、ビジネスのスピードを落としたり、便利な機能を禁止したり、ともすればビジネスの足を引っ張る存在に見えることも多いかもしれません。実際、多くのCISO(Chief Information Security Officer)たちが、ビジネス側との対立関係を、悩ましい事象と語ることが多いように思います。別の記事でも述べていますが、CISOになるために最も必要な素養は「自社ビジネス、戦略」を理解していることであり、そのことで初めてビジネス・チームと一体化したサイバーセキュリティ体制の構築と運用が実現できるのです。
ビジネス・チーム不在で起こること
例えば、ITを利用したビジネス・スキームの企画・開発を行うとして、セキュリティ・チームにセキュリティ機能を一任するとどのようなことが起こり得るでしょうか?
最低限のセキュリティ機能を備えた開発を行うことは可能でしょう。しかし、リスクが急上昇するケース(例えば同様の仕組みを狙った犯罪が多発している状態)において、追加のセキュリティ機能が必要とセキュリティ側が判断した場合、どうしてもプロジェクト全体の開発工数、納期、コストに影響が出てしまいます。ビジネス側は当然、リリース日を見据えたマーケーティング、流通、販売その他の準備を進めており、リリース日が近づく中で「追加のセキュリティが必要になるため、納期を変更して欲しい」という申し出を簡単には受け入れ難いことになります。このような状況下では、一般的にビジネスが優先されることが多く、セキュリティ側の要請は却下されてしまいがちです。しかしその結果、サイバー犯罪者の恰好のターゲットとなり攻撃を受ける可能性は否定できません。本来であれば、新たな価値が新たな市場価値を生み出すはずが、会社全体の信頼性を失墜してしまう事態を招くリスクがあります。
サイバーセキュリティ・リスクとは、守るべき資産の価値と侵害された場合の影響の大きさに応じて考えられるべきものです。そのためには、セキュリティ・チームとビジネス・チームが互いに連携・協力し合うことが欠かせません。
DXを成功させるためのリスク管理体制
さて、DXを失敗させてしまうリスクにはどのようなものがあるでしょうか?
もちろん、DX戦略そのものが間違ってしまっていて、想定通りの「市場価値」を生み出せない戦略リスクがありますが、コントロールがしにくいリスクとして「信頼リスク」があります。そして、多くの事例でサイバー攻撃の被害を受けることが信頼リスクに直結しています。事実、ある企業がサイバー攻撃被害を受けた事例は、大手メディアによって「不祥事」としてレッテルを貼られてしまい、その他の不祥事(本来の意味の不祥事)と合わせて報じられ、信頼の失墜につながってしまうこととなりました。
これは、サイバー攻撃・サイバー犯罪においては加害者が誰なのかを特定することが難しく、多くのケースにおいて、事案の批判対象が被害企業の管理体制に向けられがちであるという特性に起因しています。実際、昨年1月末に同じ通信社が2件のメールアドレス漏洩事件を報じた際に、1件は故意の持ち出しで加害者が特定されていたため、被害者批判は一切発生しませんでしたが、もう1件は同様の事件態様であるのに関わらず、SNSや掲示板の書き込みなどが被害者批判で埋め尽くされていました(もちろん、本質を理解する投稿者のコメントも散見されてはいました)。
このように、サイバー攻撃被害を受けたITシステムへの信頼は一気に失墜してしまい、そのことがDXを失敗に貶めるリスクが高いことをDX推進者はよく理解しておく必要があります。その上で、そうした事業リスクのオーナーシップを事業部門が持つ、いわゆる「3線モデル」のリスクマネジメント体制を構築することが重要です。
3線モデルとは、COSO(トレッドウェイ委員会支援組織委員会)が提唱するリスクマネジメント体制で、リスクに対峙する第一線(フロントライン)にビジネス・チームが、第二線にはビジネス・チームを支える専門家チーム(リスク管理チームやセキュリティ・チームが相当)、そして第3線には、第一線、第二線での活動の合理性を客観的に評価するための監査チームを配置するというものです。このモデルの最大のポイントは、「リスクはビジネス推進とともにある」ことを定義していることです。リスクマネジメントとは、それ自体が目的なのではなく、推進する事業を守るための活動であると位置づけている点で、こうした体制こそがセキュリティ・バイ・デザインを実践するために不可欠な体制と言えるでしょう。
図:出典:BUSINESS LAWYERS:三つの防衛線(3つのディフェンスライン)によるリスクマネジメント
https://www.businesslawyers.jp/practices/963
続く後編では、セキュリティ・バイ・デザインの実践にあたり、企画~開発・運用までの各フェーズにおいて、セキュリティ・専門チームやビジネス・チームがどのような役割を果たしていくべきなのかを、手法や技法を交えてお話ししていく予定です。
清水 智
トレンドマイクロ株式会社
日本地域CISO
2002年トレンドマイクロ入社、製品開発部門、セキュリティのコアテクノロジー部門での品質マネジメントや事業継続マネジメントの責任者を歴任。2012年より統合型リスクマネジメントの重要性を認識し社内に専門チームを発足。大規模スポーツイベントのセキュリティ、サイバーセキュリティ、リスクマネジメント、人材育成などのマネジメント領域における専門家。2020年10月よりトレンドマイクロ・日本本社のCISOを務める。
政府へのセキュリティ政策提言、INTERPOL向けサイバー犯罪捜査官育成などに携わる。一般社団法人サイバー犯罪捜査・調査ナレッジフォーラム代表理事、一般財団法人日本サイバー犯罪対策センター(JC3)理事、国際刑事警察機構グローバルサイバー犯罪専門家委員会委員なども務める。
Security GO新着記事
ダークパターンとは?企業にとってのリスクを解説
(2024年11月20日)
PPAPだけじゃない?セキュリティリスクにつながりかねない商習慣3選
(2024年11月20日)
病院でランサムウェア被害が起きたらどうする?ボードゲームでシミュレーション
(2024年11月19日)