デジタル環境が急速に進化する中で、サイバーセキュリティはIT・セキュリティ部門単独の課題ではなくなった。特にDXの進展によってサイバーセキュリティリスクがより顕在化している今、求められているのは、経営層、事業部門を含めた組織が一丸となってサイバーレジリエンス(回復力)を強化していくことだ。

 その鍵となる組織力構築のポイント、ステークホルダーの役割について、IPA 産業サイバーセキュリティセンター専門委員青山友美氏が解説する。

※本稿は、Japan Innovation Review主催の「第8回 サイバーセキュリティフォーラム」における「特別講演:企業戦略としてのサイバーセキュリティ:協力と結果重視のアプローチ/IPA産業サイバーセキュリティセンター専門委員 青山友美氏」(2024年9月に配信)をもとに制作しています。

増大するサイバーセキュリティリスクに組織的に対応するには

 2020年のPonemon Institute*1の調査によると、DXに起因する情報漏えいが発生した組織は82%に上ります。これは、DXによるデジタル機材の増加、システムの複雑化で、サイバー攻撃の対象となり得る範囲が拡大した結果といえます。

 また、デジタルサービスを社外システムに依存するケースが増加し、直接取引するサプライヤーだけでなく、購入したシステムにまで依存の範囲が広がっていますが、58%の組織が社外システムに対するセキュリティが未整備だと回答しています。

 一方、IT・セキュリティ部門と経営層で、リスク管理に必要な優先順位の合意ができている組織はわずか16%。また、DXプロジェクトの中でセキュリティ関連の予算が確保できている組織は35%です。つまり、8割近い企業が組織内での価値観の齟齬(そご)を感じており、これが予算不足に表れているとみることができます。

 こうした中、求められるセキュリティリスクマネジメントも変化しています。従来では、セキュリティリスク管理を担当するのは、セキュリティ部門の実務者層と、彼らと直接コミュニケーションをとるマネジメント層でした(下図)。

 ここについては、NISTサイバーセキュリティフレームワーク(CSF)*2をはじめ、さまざまなフレームワークやガイドラインが発行されており、管理手法が明らかになっています。

 しかし、今後特に必要となるのはマネジメント層のさらに上、経営層を巻き込んだセキュリティリスク管理です。着実なセキュリティ対策には、戦略的なリスク管理とそれに基づく適切な予算の割り当てが欠かせません。そのためには、経営層がセキュリティの重要性を理解した上で、優先度やリスク許容度を決定していく必要があるのです。

※1:情報セキュリティ、プライバシー、リスク管理に関する調査分析を専門とする研究機関

※2:NIST(米国国立標準研究所)が発行する、汎用(はんよう)的かつ体系的なサイバーセキュリティを向上させるためのフレームワーク