グローバル競争の激化、急速なデジタル化の進行、そして生成AIをはじめとするAI技術の普及に伴い、サイバー攻撃は巧妙化・高度化の一途をたどっている。このような中、世界各地で進行するサイバー脅威の実態と、サイバー攻撃から企業を守るための最先端セキュリティ戦略の解説を通じて、グローバル市場で攻めの経営を実現するための方策を議論するイベント、「Secureworks Connect Japan2024」が、2024年10月29日(火)に開催された。
本稿では、元内閣サイバーセキュリティセンター副センター長で東海大学 情報通信学部長・教授の三角育生氏による基調講演と、三菱マテリアル株式会社CIO(最高情報責任者)システム戦略部長の板野則弘氏によるゲスト講演を通じて、企業がグローバル市場で攻めの経営を実現するためのヒントを紹介する。
進化するサイバー脅威に打ち勝つために経営者に求められる視点とは
元内閣サイバーセキュリティセンター 副センター長/東海大学 情報通信学部長・教授 三角 育生氏
デジタル化がますます進む今日、サイバー攻撃による事業へのインパクトは非常に大きなものとなっている。そのため、サプライチェーンに関する対応を含めてサイバーセキュリティ対策が重要な経営課題であることは言うまでもない。本講演では、サイバーセキュリティを巡る最新の動向と、経営層がリードすべきサイバーリスクへのマネジメントについて、行政での経験を踏まえて三角氏が解説した。
デジタル化で高まるサイバーセキュリティの重要性
講演の冒頭で三角氏は、「サイバーセキュリティの重要性が増している背景には、ビジネスが変化していることが挙げられます」と指摘した。
かつてのビジネスモデルでは部品やコンポーネントをサプライチェーンから調達し、製品を作って顧客に販売すればおしまいだった。しかし、現在ではモノを売った後でも顧客とのデータのやりとりがあり、データベースを元にまた新しいプラットフォームを作ってビジネスを行う時代になってきている。IoTのセンサーを使ってデータをやりとりしたり、AIを使って業務を行うといったテクノロジーの活用も当たり前になっている。
「ハードからソフトまでさまざまなサプライチェーンがある中で、いかに信頼されるビジネスを構築していくかがキーになります」と三角氏は話した。
また、デジタル化の進展にともない、新たな脅威も生まれている。ランサムウェアなどによる企業への大規模なサイバー攻撃だ。ひとたび被害を受けると、ビジネス全体が大きな影響を受ける。
「デジタル化が事業のコアとして重要になると、その度合いに応じて、デジタル化の効用を損なわないようにしつつ、サイバーリスクへの備えも重要になります。テクニカルな議論だけではなくて、経営者のリーダーシップのもとにDXを進めていく必要がありますし、サイバーセキュリティ対策、リスクマネジメントもしっかり行う必要があります」
サイバー脅威の最新事例と被害の実態
実際に、企業の情報セキュリティを取り巻く脅威はどのような状況になっているのか。講演では、具体的な項目を挙げて解説された。
「独立行政法人情報処理機構(IPA)が2024年1月に発表した『情報セキュリティ10大脅威 2024』によれば、『ランサムウェアによる被害』が、組織向け脅威の第1位になっています」
提供:三角 育生氏拡大画像表示
「ランサムウェアは身代金要求ウイルスとも呼ばれます。情報の窃取を行ったうえ、これを暴露(拡散)すると脅迫し、企業に身代金を求めるものです。国内でもランサムウェアの被害が増えており、警察への被害届も高止まりしています。2024年6月には大手出版社のファイルサーバーなどにランサムウェアを含むサイバー攻撃を受け、オンラインだけでなくリアルも含めて、主要なサービスが一時停止するという事件も起きました」と三角氏は紹介する。
また、「組織」向け脅威の第4位は「標的型攻撃による機密情報の窃取」である。特定の組織に標的を絞って行われるサイバー攻撃で、実在する取引先や社内の組織などからのメールに見せかけ、添付ファイルでマルウェアなどを送り付ける。ファイルをクリックすると内部で展開されてしまう。
企業にとっては、ランサムウェア、標的型攻撃ともに、十分に機能する対策が求められるところだ。「内閣サイバーセキュリティセンターでは、ランサムウェアのインシデント発生時の組織向けのガイダンスとして、『組織は事業継続計画の一環としてランサムウェア・インシデントに備えるため、前もって方針、手順、フレーム、コミュニケーションを計画し、実施しておく必要がある』としています。事件が起こってから対応しようとしてもうまく機能しません。日ごろから用意しておくことが必要です。標的型攻撃も、アタックサーフェス(サイバー攻撃の侵入起点)や端末だけでなく、全社のIT資産を総合的に守っていくことが大事です。そのためには、XDR(資産からのデータを統合して監視する拡張型の検知・対応)などの導入も有効でしょう」(三角氏)
さらに、『State-Sponsored』という脅威がますます高まっている。
「『State-Sponsored』は特定の国の支援を受けた組織によるサイバー攻撃です。手口も巧妙で、マルウェアのように新しいウイルスを導入しなくても、システム中の正規のツールなどを活用する『環境寄生型(LotL: Living off the Land)攻撃』などにより、目立たない方法でシステム内に長期間展開し、情報を収集したり、インフラなどを乗っ取ったりします。攻撃者の手口を把握し、それに備えたログ取得、監視などが重要です」と三角氏は話す。
経済産業省が進める2つの適合性評価
昨今のビジネスではIoTなどセンサーでのデータ収集が重要になっているため、IoTへのサイバー攻撃も脅威になっている。
実際に、米国カリフォルニア州の上下水道システムがランサムウェアに感染し、脅迫メッセージが表示された。日本でも簡易型河川監視カメラに対する不正アクセスが発生しているという。ネットワークカメラやルーターなどのIoT機器を安心・安全に運用するためには、どのような製品を選ぶべきかが重要になる。
講演では、これらの適合性評価について三角氏が解説した。経済産業省の「IoT製品に対するセキュリティ適合性評価制度構築方針」である。米国、英国、EUなど諸外国の取り組みも見ながら、一定水準のセキュリティ要件に対するセキュリティ対策の適合性を評価し、その結果を認証やラベルの付与により可視化する制度だ。
「セキュリティの安全性をサプライチェーンなど複数の企業間で担保できるという効果が期待できます」と三角氏は話す。
三角氏は、同じく経済産業省の「サプライチェーン強化に向けたセキュリティ対策評価制度」についても紹介した。
「『IoT製品に対するセキュリティ適合性評価制度構築方針』は、その名の通りIoTの機器に関する適合性を評価するものですが、『サプライチェーン強化に向けたセキュリティ対策評価制度』は、サプライチェーン上の『組織』の適合性を評価するものです。これまでも経済産業省・IPAではガイドライン整備などを進めてきました。しかし、業界ごとに基準がまちまちでサイバー対策の可視化が容易ではありませんでした。そこでセキュリティ対策について業界横断的に活用できる評価制度をつくることも検討されています」と三角氏は紹介した。セキュリティ対策評価制度として、レーティング(格付け)なども検討されおり、サイバー対策状況が取引先などから確認できるようになるという。今後はさらなるサプライチェーンのセキュリティ強化に向け、大手企業、中小企業ともに今後の動きを注視すべきだろう。
重要なのは経営者のリーダーシップ
三角氏は、サイバーリスクに対して経営者のリーダーシップが重要と繰り返し指摘する。
「実際には、多くの企業ではその重要性に気づいていても、経営者が何をしたらいいか分からず、現場に検討を任せているところも多いという状況です」と三角氏は懸念する。
サイバーセキュリティにおいて、経営者がリーダーシップを発揮するために、どのような取り組みが必要なのか。
「経営層はサイバーセキュリティ以外にも、ファイナンスや新規事業など、意思決定をしなければならないことがたくさんあります。そこで、『戦略マネジメント層』と私は呼んでいるのですが、経営の視点、セキュリティの視点からさまざまな部門を束ねるような経営層を支える体制を構築するのも一つの方法です」
経済産業省の「サイバーセキュリティガイドライン3.0」でも、「経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要」だとされている。
三角氏は「米国などでは、『エンタープライズリスクマネジメント(ERM)』というキーワードが注目されるようになっています。つまり、サイロ化させず、組織全体のレベルで経営層による方針決定・判断・管理を行うことが大事、ということです」 と経営者の役割を重要視している。
世界の潮流はERMに加えて、サイバーセキュリティ重視になっているようだ。三角氏は海外の動向などについて、次のように紹介する。
「米国などの場合、ERMとサイバーセキュリティをうまく折り合いをつけていくために、ISMS(情報セキュリティマネジメントシステム)よりもCSF(サイバーセキュリティフレームワーク)が注目されることが多くなっています。同フレームワークは、何かあった時の検知、リカバー・復旧していく仕組みの流れがよくできています」。講演では、CSFとERMを統合していくための仕組みなどについても紹介された。
講演の結びにあたって三角氏は「チャレンジとリスク許容度の判断は経営者の責任です。サイロ化された部分最適ではなく、全体最適の観点で、リスクマネジメントを進めてほしいと願っています」と語った。
三菱マテリアルの変革を推進する板野CIOが語るDXの本質
三菱マテリアル株式会社 CIO(最高情報責任者)システム戦略部長 板野 則弘氏
三菱マテリアルでは、全社を挙げて4つの経営改革に取り組んでおり、その中核をDX戦略「MMDX(三菱マテリアル・デジタル・ビジネス・トランスフォーメーション)」が担っている。“グループITガバナンスとシナジー”の実現を目指すIT戦略とともに、これらの戦略を遂行する中で、その土台を支えるセキュリティ対策、CIOの観点からキーとなる考え方と様々な気づきについて板野氏が紹介した。
三菱マテリアルの4つの経営改革 MMDX2.0への進化
三菱マテリアルは1871年(明治4年)に創業し、150年を超える歴史を持つ非鉄金属メーカー。主要な5事業を展開している。祖業である銅製錬の金属事業のほか、銅加工事業、電子材料事業、超硬合金製の切削工具などの加工事業、地熱発電などの再生可能エネルギー事業である。
「当社は今、目指す姿の実現に向けた4つの経営改革に取り組んでいます。『CX』、『HRX』、『DX』、『業務効率化』の4つです」と板野氏は紹介する。
「CX」は最適なグループ経営形態(組織・経営管理)への改革、「HRX」は変化に対応する自律的な人材の確保・育成に向けた人事制度、働き方の改革、「DX」はデータとデジタル技術活用による改革、「業務効率化」は組織の見直し、仕事(のやり方)の見直し、働き方の改革を、それぞれ意味しているという。
「4つの経営改革の中核を担っているのが、2020年より進めているDX戦略『MMDX(三菱マテリアル・デジタル・ビジネス・トランスフォーメーション)』です。これまでMMDXではデータとデジタルを活用し、『ビジネス付加価値』、『オペレーション競争力』、『経営スピード』の3本柱を推進してきました。開始から2年以上が経過したこともあり、現在はさらにものづくり領域のDXを加速させるために『MMDX2.0』として新たなフェーズへ移行しています」
「MMDX2.0」では、「事業系DX」、「ものづくり系DX」、「研究開発DX」、「全社共通DX」、「基幹業務刷新」などで、多様なテーマの取り組みを推進しているという。
「すでに、いくつかのテーマでは成果が出始めています。例えばE-Scrapビジネスの新プラットフォーム『MEX』の運用などもその一つです」と板野氏は紹介する。
E-Scrapは、「都市鉱山」の一部として注目される、金・銀・銅・パラジウムなどの有価金属が高い濃度で含まれる各種電子機器類の廃基板のことである。三菱マテリアルグループのE-Scrap処理能力は年間約16万トン。
「MEX」(Mitsubishi Materials E-Scrap EXchange)は、E-Scrap取引の新しいプラットフォームである。リサイクル事業者は、出荷したスクラップの分析、価格の算定などを電子上で確認できる。製錬の進捗を動画で確認することも可能だ。取引の透明度が増し、安心・安全な取引ができるとして、導入企業も増えている。
「お客様の貴重なデータを取り扱っていますので、二段階認証など、データの保全などにも力を入れています」(板野氏)。
DXを進めるうえで重要な心理的安全性とボトムアップアプローチ
DXプロジェクトを進めるために、具体的にどのような取り組みが必要なのだろうか。
「DXに限らず、トップダウンで物事を始める時、経営だけが盛り上がり、なかなか現場に火が着かないことがよくあります。大切なのは社員の当事者意識を醸成すること。そのための仕掛けとしておすすめなのが、『初期ステージ』、『フィジビリティ・スタディ(F/S)ステージ』、『本格ステージ』の3つのフェーズを作ることです」と板野氏は話す。
「主役は、従業員一人一人」として、それを実現するための施策を積極的に行っているわけだ。
「『DXチャレンジ制度』という制度もあります。コンセプトは、『全従業員にDXの『学びと実践』の場を提供する全社活動を通じて、ひとを育てる』というもので、『DXチャレンジ予算制度』、『DX教育・研修プログラム』、『専門家伴走(支援活動)』、『環境(DXツール)』の4つの仕組みを用意しています」(板野氏)。
「DXチャレンジ予算制度」は、失敗してもいいという予算を提供すること、『DX教育・研修プログラム』はEラーニングなども含む自己成長プログラム、『専門家伴走(支援活動)』は新しいことに対して手を差し伸べてくれる専門家、『環境(DXツール)』はデータ基盤や解析ツールである。
一方で板野氏は、他の社員からのやっかみを防ぐことも大切だと話す。
「意欲ある若手社員が孤立しないためには、マネジメント層がきちんとコミットメントすることが大切です。縦割りを超える有効な手段として、コミュニティの活用なども一つの方法でしょう。他の部署にいる同じ課題感を持っている人と悩みを共有することもできます」
さらに板野氏は、自身がCIOとして重視している2つのテーマを示した。
「それはガバナンスとシナジーです。ガバナンスについてはどの企業でも重要視されていますが、シナジーをしっかりと考えている企業は少ないものです。いくらガバナンスを上から言っても、そのメリットを現場の社員たちが実感しないと長続きしません」
セキュアワークスの監視サービスを活用してセキュリティを強化
そこで大事になるのがセキュリティだという。「セキュリティがやりたいことを阻害する時代ではありません。セキュリティがガバナンス的に守られているから自由にやりたいことができるのです。これもシナジーです」(板野氏)。
同社では板野氏が着任した2021年からCSIRTは自社運用、SOCはセキュアワークスの監視サービスを利用し、セキュリティを強化してきた。当初はIaaS(Infrastructure as a Service)やPaaS(Platform as a Service)などのクラウドおよび国内インターネットゲートウェイを監視対象としていた。2022年にはサイバー攻撃リスクの高い、海外個社インターネットゲートウェイを監視対象として拡大した。さらに2023年からは新監視基盤Taegis(テージス)へ移行するとともに、既存環境、OT(制御・運用)ネットワークを監視対象として順次拡大している。
「セキュアワークスの『Managed Taegis XDR』も、新たな性能向上および機能強化などのロードマップが示されています。これらを踏まえて、当社のセキュリティもさらに強化したいと考えており、セキュアワークスと一緒に歩んできたいと戦略を立てているところです」と板野氏は話す。
DXの本質は「人」
現在、DXに取り組む企業が増えている一方で、成果を出せている企業はまだ少ないようだ。その理由はどこにあるのか。
板野氏は次のように答える。「経済産業省の『DX推進ガイドラインVer.1.0』では、DXの定義について、『データとデジタル技術の活用により、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立すること』とされています。ところが実際には人がやっていたことをデジタルに置き換える自動化と効率化にとどまっている例が散見されます」。注目される生成AIも、自動化や効率化が得意領域であり、新たな価値を創造することはなかなかできていないという。
本当の意味でのDXを実現するためには何が必要なのか。「私は“気づきの種”と呼んでいますが、デジタル化によりさまざまなアイデアのヒントが見えるようになってきました。そこから新たな花を咲かせる事業の高度化・創造はまさに人の力にほかなりません」と板野氏は話す。
少子高齢化が進み、労働力不足も深刻な課題になりつつある。限られた人材で、いかに新しいアイデアを生み出し、人・組織のパフォーマンスを向上させるべきか。
板野氏は最後に「パフォーマンス=スキル(経験)×モチベーション(やる気)の面積であると言われます。私はそこに『集中(考える)』を加え、立体にしたいと考えています。せっかくスキルとモチベーションを持っていても、考える時間がないと、そのパフォーマンスは出ませんから。この集中する、考える時間を提供するのは、やはり、上司の責任、経営者の責任だと思います。一人一人の社員のパフォーマンスの体積を大きくし、その総和を増やすことに経営者は取り組んでほしいですね」と語った。
経営戦略としてのセキュリティ対策
グローバルで競争力を維持・向上させる攻めの経営を実現するためには、経営戦略としてのセキュリティ対策が欠かせない。主催者であるセキュアワークスは、巧妙化・高度化する最新のサイバー攻撃に対応するためには、最先端テクノロジーの活用が必要であることを解説した。同社が提供する「Taegis XDR」は、AIを活用し、IT資産から収集した大量のデータを解析し、高精度なサイバー攻撃検知と迅速な対応を実現しており、国内外で導入企業を増やしている。
「Taegis XDR」は進化する世界中のサイバー脅威から企業を守るための最先端セキュリティ戦略を実現するための強い味方になるだろう。
<PR>
