企業における重要な意思決定の過程でデータや情報を活用し、競争力を高めるアプローチである「インテリジェンス活用」が注目されている。2024年10月29日(火)から31日(木)までの三日間にかけて開催されたオンラインイベント「NRIセキュアカンファレンス/経営とセキュリティを『読み解く』~不確実性の時代に必要なインテリジェンス活用~」(主催:NRIセキュアテクノロジーズ株式会社)では、このインテリジェンス活用について、セキュリティやAIなどの観点を交えて、専門家が多角的な視座を提供した。本稿では、Day3(10月31日(木))のNRIセキュアテクノロジーズの藤井 秀之氏による「インテリジェンスを活用したセキュリティ経営~NRIセキュアインテリジェンスセンターの挑戦~」と、喜多羅株式会社 Chief Evangelistである喜多羅 滋夫氏による「生成AI時代に改めて考える、データドリブン経営に伴走する情報システム部門の考え方」のエッセンスをお届けする。
具体性が危機意識を高め、意思決定を促す
Day3では、はじめにNRIセキュアテクノロジーズ株式会社インテリジェンスセンター統括部部長の藤井 秀之氏より「インテリジェンスを活用したセキュリティ経営~NRIセキュアインテリジェンスセンターの挑戦~」についての講演があった。
社会のパラダイムが大きく早く変化する中、経営者には、明確かつ迅速なリーダーシップの発揮が求められている。特に、攻撃手法が日々アップデートされているサイバー攻撃に対し、セキュリティ領域の経営判断の精度とスピードを上げていくためには、インテリジェンスの活用が鍵である。そして、経営主導の「インテリジェンス駆動型ガバナンスモデル」の設計が欠かせない。
さらに重要となるのは、経営層の意思決定にはどのようなインテリジェンスが必要なのかを選別したうえで、いかにして収集、分析して経営層に報告していくのか、またそれらの方向性をどのように定めて具体化していくのかという観点だ。
たとえば、脅威インテリジェンスとして脆弱性や新種のマルウェアを検知したとしても、それが自社の事業にどのような影響をもたらすのかを説明ができなければ、経営層はそれに対してどのように対応すべきかの判断ができない。プロセスが確立されていないと、報告や意思決定に時間がかかり、その間に攻撃がすでに終わっているということも考えられる。したがって、脅威情報等のインテリジェンスを、経営層が意思決定するための戦略インテリジェンスとして活用していけるかが鍵となる。
そして、インテリジェンスを意思決定につなげていくためには、 “正確性”、“利用者目線”、”次のアクションにつながる”、”適切なタイミングである”という4つの要素(4A)が重要であると言われている。
たとえば、他社でのサイバー攻撃被害の報告にあたっては、“自社での発生可能性”や“必要な追加対策”を付記する。しかし、自社での発生確率が高いのか低いのかだけだと、経営層も行動の意思決定につながらないことが多いため、“自社が同様の攻撃を受けた場合、最悪80%の工場システムがストップし、何億円の被害が発生”など具体的な数字を示すことがポイントとなる。こうした具体的なシナリオや数字が危機意識を高め、意思決定や投資判断といったアクションにつながる。
提供:NRIセキュアテクノロジーズ株式会社拡大画像表示
経営層にもインテリジェンスへの意識を高めてもらうことが重要
同じ報告を受けたとしても、経営メンバーによって見解、危機感の捉え方は異なる。経営メンバーの専門性や担当領域、セキュリティに対する感度は様々だからだ。したがって、企業は単にインテリジェンス部門を強化するだけではなく、経営層にもインテリジェンスの活用に向けた意識の醸成が必要だ。
また、インテリジェンス部門はCISOだけではなく、業務部門とも密接に情報共有できるよう、CIOやBISO等の事業部門と連携してインテリジェンスを分析・活用していく体制を構築しておくことが重要となる。
なお、インテリジェンスを迅速かつ有効に活用していくにあたっては、インテリジェンスの収集分析のための基盤の構築も有効な施策だ。すでに一部のセキュリティ意識の高い企業では導入が進んでいる。
NRIセキュアテクノロジーズでは、顧客のセキュリティに関連する意思決定における支援をより一層強化するため2024年1月にNRIセキュアインテリジェンスセンターを設置した。脅威、規制、技術、ビジネスといった4種類のインテリジェンスを収集・蓄積・洞察し、そこからお客様の経営層が抱えている課題に対するインサイトを導出し、対外的に提言していくことや、同社の各サービスに組み込む形で、お客様の課題解決に貢献していくことを目指している。
提供:NRIセキュアテクノロジーズ株式会社拡大画像表示
データドリブン経営を待ち受ける「3つの壁」
続いて、喜多羅 滋夫氏による「生成AI時代に改めて考える、データドリブン経営に伴走する情報システム部門の考え方」だ。
データや情報を活用して事業に貢献しようという考え方は、新しいものではない。30年以上前からマネジメントインフォメーションシステム(MIS)は存在している。それと「データドリブン経営」は何が違うのか。「私なりにデータドリブン経営を定義すると『企業や組織がデータを活用して発見し、検証し、事業を推進していく経営』だ。新しい機会を見出し、検証していくという姿勢が従来のデータ活用とは異なる」と喜多羅氏は述べる。
こうした試みを進めるうえでは、IT部門にとって“3つの壁”が立ちはだかる。「体制」、「カルチャー」、「テクノロジー」だ。
提供:喜多羅 滋夫氏拡大画像表示
「体制」の壁とは、組織の意思決定の壁だ。投資の優先順位付けなどを見ても、体制を超えて同じ方向を向くのは難しい。
「カルチャー」の壁とは、既存ユーザーの壁だ。既存のやり方に慣れたユーザーは、IT部門が提示する新しい手法を前にすると、確かに正しいのかもしれないと思いながらも、それによって従来の取り組みが否定されることをなかなか受け入れにくい。過去の仕事を否定することなく前へ進むのは難しいのだ。
「テクノロジー」の壁とは、システム間の連携の壁だ。レガシーと呼ばれるような既存のシステムがある限り、新システムとの連携は常に課題となる。
IT部門は、経営者と業務部門と「三位一体」になって同じゴールに向かうべき
1つ目の「体制」の壁を乗り越えるには、まず、経営課題に連動したアジェンダの設定が重要だ。社内在庫の管理や生産工程の歩留まり改善など、事業の根幹に関わるデータをまずは可視化し、それに対する仮説検証から取り組むべきだ。
そのためにも、組織が一枚岩になる必要がある。各事業部門のリーダーはもちろん経営層とも密接にコミュニケーションをしながら、全社での変革の重要性を常に確認し続ける。小さく始めることも重要だ。PoCを重ねながら取り組みの意味や価値への理解を浸透させ、PoCの成果を経営層に理解してもらい、スケールさせるというプロセスが必要だ。
2つ目の「カルチャー」の壁を乗り越えるうえで最も大切なのは、あくまで主導はユーザーサイドが行うという姿勢だ。IT部門は伴走するというポジションをとることが望ましい。そもそもユーザーも、現行のオペレーションが完璧だとは思っておらず、改善の必要性も感じている。しかし改善の必要性を当事者でないIT部門から頭ごなしに指摘されると、刷新後の実務への不安が噴出しかねない。ユーザー自身がオペレーションに感じている課題感を尊重する必要がある。そのためにも、ユーザー部門のステークホルダーと密接なコミュニケーションが欠かせない。
3つ目の「テクノロジー」の壁については、既存のシステムとは別に小さな環境をつくり、そこでうまくいったらものをトランジションしていくというステップで乗り越える。そうして新しいものを作ったならば、同じ数だけ古いものを廃止する。単に加えていくだけでは運用コストが膨れ上がる一方だ。
つまりIT部門は、経営者と業務部門と三位一体になって同じゴールに対して向かっていく必要がある。その上でのIT部門の役割に、情報セキュリティの観点での示唆の提供がある。
提供:喜多羅 滋夫氏拡大画像表示
たとえば、事業継続に必要なデータと、漏えいさせてはならないデータは必ずしも一致していない。化学品メーカーにとって、製品にどのような成分がどのような割合で配合されているかという情報は、確かに重要な情報だ。しかしそれが漏えいした場合、すぐに競合他社が同じものを作れるわけではない。製造には、設備や製造ノウハウも必要だからだ。一方、顧客情報の漏えいは個人情報保護法違反である。こうした違いについて理解を求めるのもIT部門の仕事だ。また、攻撃によって事業に必要なデータがロックされてしまったとき、紙と鉛筆で業務を回し続けられるかという視点をもつことも重要である。こうした守りの側面での対策もIT部門が行うべきだと喜多羅氏は言う。
最後に喜多羅氏は、北米プロアイスホッケーリーグNHLの名プレイヤーであるウェイン・グレツキーの言葉を引用し、「我々の様にイノベーションに携わる人間は、これからイノベーションがどの方向に進んでいくかを視野にいれながら事業に伴走するべきだ」と熱いメッセージを添えて、講演を閉じた。
<PR>
NRIセキュアテクノロジーズへのお問い合わせはこちら
【関連記事】
・Day1の講演(早稲田大学 教授 入山 章栄氏/NRIセキュアテクノロジーズ 代表取締役社長 建脇 俊一氏)のレポート記事はこちら
・Day2の講演(京都大学 法学研究科 特任教授 羽深 宏樹氏/NRIセキュアテクノロジーズ 大津 一樹氏)のレポート記事はこちら
