企業のDX推進の取り組みが活発化する一方で、サイバー攻撃の脅威もますます身近に迫ってきている。株式会社資生堂では、2017年に情報セキュリティ部を立ち上げ、事業の持続可能な発展のためにKRI(Key Risk Indicator)を指標として、デジタル活用を支えるサイバーリスクに備える体制を構築してきた。個人情報・知的財産などを適切に守るための企業リスク管理(ERM)にも詳しい、同社情報セキュリティ部部長(CISO)斉藤宗一郎氏が、社内での取り組みを紹介する。
※本コンテンツは、2022年8月2日に開催されたJBpress/JDIR主催「第1回 サイバーセキュリティフォーラム」の特別講演1「資生堂が挑むサイバーセキュリティ」の内容を採録したものです。
動画アーカイブ配信はこちら
https://jbpress.ismedia.jp/articles/-/72214
情報セキュリティは、従来の「IT課題」から「経営課題」になる必要がある
1872年に銀座の洋風調剤薬局からスタートした歴史を持つ資生堂は、今年で創業150周年。「BEAUTY INNOVATIONS FOR A BETTER WORLD(美の力でよりよい世界を) 」を企業使命に、世界で勝てる日本発のグローバルビューティーカンパニーを目指してきた。中長期経営戦略「WIN 2023 and Beyond」 には、「社会から最も信頼されるビューティー企業」として、品質面にとどまらず、DXの加速・発展、デジタル事業モデルへの転換・組織構築など、デジタルを活用した取り組み推進への意気込みも盛り込まれていると語るのは、株式会社資生堂情報セキュリティ部部長(CISO)の斉藤宗一郎氏だ。
そうした新たなデジタル活用の好例としては「メイドバイジャパン」を意識して、近年新たに立ち上げた3エリアの工場(那須、大阪茨木、福岡久留米)がある。これらの新工場では、デジタル・オペレーション・テクノロジー(OT)を活用しており、同氏が率いる情報セキュリティ部が、OTアセスメントなど現場におけるチェックを担っている。
こうしたDX推進のみならず、経営戦略における情報セキュリティを考える上で斉藤氏が重視しているのは、「情報セキュリティにおいて『何を守っているか』を明確にすること」だ。
「ネットワークを守るのか、そこにあるコンテンツデータを守るのか。守るものはどこにあるのか。また、情報資産およびデータの保管場所はどこか。さらに、守るものにどれほどの価値があるか。こういったことを明確に認識しておく必要があります」
加えて昨今は、守るべきデータの範囲も拡大している。データセンターだけでなくクラウドを利用して、取引先と共有したり、社員がテレワークでオフィス外からアクセスしたりといったことが当たり前になった。斉藤氏は「データを取り巻くビジネス環境、個人情報保護法や経済安全保障、知的財産の扱い方にも目を配っていく必要がある」と指摘する。その根本にあるのは、「情報セキュリティは、IT課題から経営課題になる必要がある」という考えだ。
「経済産業省によるガイドラインにも、『サイバーセキュリティは経営課題である』と記されています。情報セキュリティ部だけが先進的でもダメで、社内の一人一人の理解と協力が大事です。そのためにも、私たちが発想の転換を訴える必要があります。例えば、従来は、インターネットを使って仕事を効率化するという発想でしたが、DXの時代においては、むしろ仕事がインターネットの中にあるという意識に変えるべきでしょう」
情報セキュリティ環境の変化で、新たなデータ管理のあり方が求められている
情報セキュリティを取り巻く外部環境においては、攻撃の発生頻度の増大、複雑・高度化が見られるのは周知の通りだ。インシデントによる影響も、ますます大きくなっている。一方の内部環境においては、セキュリティ対策の優先度が不安定で流動的な中、コスト削減と平時の備えが同時に求められるが、慢性的な予算とセキュリティ人材の不足が課題となっている。こうした環境に対して、斉藤氏は「情報セキュリティにはITのみならず、リスク管理の視点が非常に重要だ」と強調する。
またデータの価値については、国レベルでも「データは21世紀の原油である」として注目が高まっており、越境の制限や罰則を伴う法規制の強化、データローカライゼーションという言葉も聞かれる。
「データは、ビジネスパートナーや取引先と共有することで初めて価値が出てくるものです。一方で、自社を超えた情報の利活用には、境界線防御に加え、データそのものを守るという意識が大切だと考えています」
また、個人情報の扱われ方についても、人々が非常に高い関心を示す時代になっている。その背景にあるのは、情報を悪用される事例の増加だ。さらにライフスタイルの多様化に伴って変更要求は頻繁になり、法規制も厳格化の方向にある。取得から保管、利活用、変更、廃棄といったデータのライフサイクル管理は難しくなる一方だ。「将来的には、情報銀行やパーソナルデータストアといった外部リソースを積極的に活用していく必要があると考え、検討している」と斉藤氏は語る。
「セキュリティを取り巻く環境には、コロナ禍の働き方改革も非常に大きな変化をもたらしました。これまでの入退館システムや警備員の配備、複合機、人間工学に基づいた椅子や机といったオフィスファシリティへの投資と同様に、今後は安心かつ安全にテレワークを実現させるための、デジタルファシリティへの投資が必要になります。業務特性に応じた通信環境、各家庭のWi-Fiルーター、デバイス認証技術への投資などの整備が求められるのではないかと考えています」