デジタルによる破壊的変化

シンプルなサイバーセキュリティ対策を目指して

システム基盤の複雑化は安全性を阻害しているのか

読了時間:約11分
March 31, 2021
Take on Tomorrow 新たな未来への考察

先日、ある大手グローバル企業のCIOが同社の取締役会において、サイバー攻撃から自社のデータやシステムを守るために必要な対策について幅広い観点から問題提起しました。取締役会では、セキュリティ分野に対する積極的投資とセキュリティ意識の向上を確認したところで、次の議題項目である財務委員会のプレゼンテーションに移りました。自社が少数株主となっているある企業の所有権統合を目的として、株式取得を行うか決議するためです。

この取締役会の議事進行について、その場に居合わせたCIOはとても驚いたといいます。なぜなら、その買収先企業はサイバー攻撃やハッキング行為が常態化している地域で事業を展開しているにもかかわらず、取締役会ではその買収先企業のサイバーセキュリティ対策が議論されなかったからです。

幸いなことにその場にCIOが居合わせたため、その株式取得の決議に際して、サイバーリスクに関する観点から適切な議論が行われました。その結果、買収先企業のITインフラやシステム運用を、同社のシステムに完全統合する提案に変更できました。

この取締役会では2つの議題を別々に扱い、「関連した1つの課題」として考えていませんでした。取締役会やCEOがサイバーセキュリティ領域において担当すべき範囲は、(インシデント状況を確認する)リスクダッシュボードの監視に留まると捉えていたからです。つまり、サイバーセキュリティが経営上の意思決定に直結する課題であるとの認識はありませんでした。

これは、私たちが何年にもわたって直面してきた課題です。端的に言えば、多くの取締役会やCEOは、「サイバーセキュリティはCIOやCSOをはじめとする技術者が取り組む領域である」と見なしているのです。しかし、これでは、サイバーリスクを考える際、システムの複雑さが危険性を引き起こしかねないということ(と同時に、シンプルさが有用性をもたらすということ)を見落としてしまいます。

したがって、サイバーセキュリティ対策に真剣に取り組んでいるリーダーは、CEO、その他の経営幹部ら企業経営に携わるメンバーに対し、システムの複雑性を軽減してシンプルにすることの有用性を訴え、ビジネス戦略会議の俎上に載せるように働きかけるべきなのです。

戦略的な議論を促進するためには、次のような質問が効果的です。

  • 自社が抱えるサイバーリスクを全面的に考慮することで、ビジネスモデルにどのようなメリットがありますか。リスクを考慮した場合、(システムを)「シンプル化」する必要性は高まりますか。
  • 外部パートナーに関連するサイバーリスクと利益のトレードオフを、どの程度把握できていますか。管理効率を上げるためにエコシステムをシンプルにすることで得られるメリットとデメリットは何でしょうか。
  • ITシステムのレガシープロセスにはどの程度のリスクがありますか。また、競争優位性を確立するために、システムの安全性を確保し、簡素化し、転換することを視野に、どの分野への投資を優先させるべきだとお考えですか。

これらの課題に迅速に取り組み、システムの簡素化を推進するリーダーがいることで、組織は企業全体の安全性向上を実現できるのです。

さまざまなものが相互にネットワーク接続している現代において、企業は自社を取り巻くエコシステム全体で、サイバーリスクのあらゆる可能性を考慮する必要があります。

相互接続するデジタルネットワーク

A network of digital interconnections between an enterprise and its suppliers, service providers, partners, consumers, customers, and industry suggests multiple areas of cyber risk. A network of digital interconnections between an enterprise and its suppliers, service providers, partners, consumers, customers, and industry suggests multiple areas of cyber risk.

Source: PwC analysis

忍び寄る複雑性の罠

10年前でさえ、多くの大企業ではシステムの構築や保守、フットプリントに多額のコストがかかっており、これらIT資産の運用管理は非常に複雑でした。さらに、スマートフォン時代が到来したことでデジタル化が飛躍的に進み、状況は一層複雑になりました。

企業は自社のビジネス領域を拡大し、収益性の高い新たな成長ビジネスを獲得するために、多様な新しいパートナーとエコシステムを構築してきました。その範囲は、複数の製品やサービス(ITサービスを含む)のサプライチェーンだけでなく、データ、流通、マーケティング、イノベーションを目的としたパートナーシップまで多岐にわたります。

最近では、新型コロナウイルス感染症(COVID-19)の感染拡大もビジネスに大きなインパクトを与えています。多くの企業がデジタル化を推進しており、外部ベンダーが運用するデータ、デジタルネットワーク、モバイルデバイスといったデジタルソリューションの採用が急速に進んでいます。

通常、多くの組織が採用している技術基盤は、柔軟性にいくつかの制約があるレガシーシステムによって構成されており、機能が追加されるたびにその複雑さは増しています(近年台頭している“デジタルネイティブ企業”は、技術基盤がシンプルであるという利点があります。これらの企業は、システム間の相互運用性を向上させる最新のテクノロジー、基準、技術を用い、最初から“デジタルファースト”を想定しています)。

レガシーシステムには、攻撃者に悪用可能なほころびやシステム間の連携が存在することが多く、攻撃者にとって侵入しやすい環境になっています。さらに、レガシーシステムを利用している大企業は、デジタルネイティブ企業の後塵を拝さないようにとプレッシャーをかけられています。異なるシステムの統合は、すでに複雑化しているシステム同士を接続することを意味するので、リスクは増大します。つまり、システムの複雑さは指数関数的に高まってしまうのです。

こうしたシステムの複雑さにより、サイバーリスクとシステムの管理運用コストは危機的な水準まで高まっています。深刻なサイバー攻撃の件数は、世界中で増加しています。例えば、深刻な被害をもたらしているランサムウェア攻撃や、政府機関、防衛組織、ハイテクシステムを狙った標的型攻撃などが代表的であり、ITネットワーク管理ソフトの脆弱性を狙ったものや、間接的なサプライヤーを介してデータを侵害するものなどが多いです。そして、重大なインシデントが発生するたびに、(官民問わず)数千人のユーザーがリスクにさらされ、攻撃の痕跡が何カ月も発見されないままになってしまう可能性もあるのです。

「コスト」と「リスク」のトレードオフをどう捉えるべきか

COVID-19の感染拡大を受け、多くの経営幹部は自社の成長戦略を再検討しています。コロナ禍は自社のセキュリティ対策を見直す適切なタイミングだといえるでしょう。これを機に、自社がどの程度のサイバーリスクを抱えているのか、システムの複雑性に起因するコストがどのくらい膨れ上がっているのかを評価すべきでしょう。これは事業部門、業界、地域によって異なりますが、リーダーにはビジネス上の取り決め、システム運用、ITインフラの複雑性を自己評価できる優れたメンタルモデルが必要とされています。

システムの複雑性とサイバーリスクの範囲を考察するフレームワークの1つに、ノーベル経済学賞受賞者であるRonald Coase氏が提唱した「コースの定理(Coase Theorem)」があります。コースの定理は、「企業が製品やサービスを提供する際、外部との取引コスト(外注コスト)が、内製する場合のコストを上回るまでは、外部の業者を利用すべきである」としています。この考え方はサイバーリスク評価においても同様かもしれません。

サイバーリスクは一種の「外部」コストであり、攻撃者の手口が高度化し、脅威が拡大するにつれて上昇します。一方で、デジタル化の普及と低コスト化により、複数の組織とのパートナーシップの構築は潜在的リスクを抱えているものの、その「取引」コストは実際には低下しています。その結果、複雑さを生み出すコストが大幅に低下する一方で、失敗のコストが大幅に上昇するという新たな状況が生まれたのです。

3つの領域で考えるシンプル化の必要性

自社システムの安全性を確立するため、より良いバランスの維持に努めるリーダーは、いくつかの基本原則に沿って対策を講じることが有効です。

1つは、戦略的な施策を講じた結果、複雑化のリスクを増加させたり、現状を悪化させたりしないようにすることです。もう1つは、システムのシンプル化は、システムを再構築するだけでは不十分だと認識することです。ビジネスの成長に適したIT基盤を構築するためには、より根本的な(そして多くの場合はより長期的な)修正が必要であることを理解しなければなりません。

私たちの経験によれば、課題とチャンスは以下の3つの領域に分類されます。

  1. ビジネスモデル:企業がサイバーセキュリティの危機に直面した際、対策の重要性は考慮するものの、最終的には、脆弱性が確認された部分に対して場当たり的にセキュリティパッチ(修正プログラム)を適用するだけで終わってしまうケースはしばしばあります。しかし、攻撃力の高い新たな脅威に対応するためには、「パッチの適用」といった現場レベルではなく、ビジネス全体へのインパクトを考慮した、より高レベルでの対策が必要です。

    私たちが知るある企業では、デジタル化に関しては大部分で現場のリーダー層に高い裁量権が与えられていました(決して珍しい事例ではありません)。この企業の地域リーダーやビジネス部門のリーダーには、デジタルパートナーを選択する、顧客やサプライヤーなどに提供するシステムやネットワークを選択する、という権限が与えられていました。

    あるとき、同社はある地域で軽度のサイバー攻撃を受けました。その後、同社のITリーダーは、パートナーやサプライヤーを選定するルール、条件など、リスクを軽減するためのガイドラインとベストプラクティスを全地域に提供しようとしました。ただ、提案された内容は、ITの範疇を超えていました。ITリーダーが提案した新しいアプローチは、CEOに対して会社のビジネスモデルの根幹となる部分に改善を求めるものでした。それは、デジタルの複雑性とサイバーセキュリティに対して多大な影響を及ぼす、ビジネス部門のリーダーの裁量に変更を求める内容だったのです。

  2. 外部パートナー:よく見受けられるのは、エコシステムとサプライチェーンの管理に関する課題です。いずれも不透明かつ複雑で、安全に管理する対策が追いついていません。

    あるグローバル小売企業を例に挙げましょう。その会社に就任した新しいオペレーションディレクターは、自社の状況を「サプライヤー管理のカオス」と評し、顧客データが潜在的なリスクにさらされていることに気づいて驚いたといいます。

    その会社では過去に顧客や製品ラインの構成が変化したり、新規市場に参入したりすることを繰り返したため、顧客情報管理システムの運用にあたって異なる6つのベンダーが関わっていたのです。そしてそのうちの2社は過去にデータの漏洩があったため、オペレーションディレクターは対策の必要性を感じていました。

    そこで、最初にCEOと取締役会の意見を取り入れ、業界で最も有能で革新的な2社のベンダー(製品)に絞り、多様性とレジリエンスを両立した、信頼に足る環境を構築しました。複雑性を軽減したことで透明性が高まり、すべての関係者がサプライチェーンをサイバー攻撃から守るために自分が果たすべき役割を理解できるようになったといいます。

    経営幹部は、全顧客データをバックアップするシステムの導入と、顧客データへのアクセスに関する新たな制限の設定を承認しました。オペレーションディレクターは、ベンダーのセキュリティ規則を詳細に把握するという重要なポジションを設け、直属のスタッフを配しました。

    こうした取り組みの結果、最終的には顧客データを扱うエコシステムはより安全になりました。会社は自社と顧客情報管理システムベンダーの責任分界点を明確にすると同時に、新技術の導入により監視体制の強化を実現したといいます。私たちが知るある企業では、デジタル化に関しては大部分で現場のリーダー層に高い裁量権が与えられていました(決して珍しい事例ではありません)。この企業の地域リーダーやビジネス部門のリーダーには、デジタルパートナーを選択する、顧客やサプライヤーなどに提供するシステムやネットワークを選択する、という権限が与えられていました。

  3. 内部システム:社内のプロセスとシステムのどこに複雑性とリスクが潜んでいるかを精査する必要があります。例えば、ほとんどの金融機関の決済システムには、最新のアプリケーションとレガシーアプリケーションが混在しています。多くの場合、(顧客が数日間、取引ができないような)システムの停止は、基幹となる決済システム(レガシーシステム)に起因しています。厳密に言えば、システム停止の原因は必ずしもレガシーシステムの技術的な課題ではなく、古い決済プロセスにあることが多いのです。

    従来、これらのプロセスは、数日の決済サイクルで取引を処理するよう構成されていました。しかし、リアルタイムでのトランザクションが要求されるようになった今日のビジネス環境では、これまで以上に複雑なワークアラウンド(エラー発生時の緊急処置プロセス)をレガシーシステムに組み込む必要があります。つまり、これまでは数日間かけて実施していた決済プロセスを、即時決済プロセスに刷新しなければならなくなったのです。

    このような複雑性は、大規模障害の発生だけでなく、極めて軽微な不具合であっても重大なインシデントに発展するリスクを増幅させています(注1)。そして、システムの複雑さを放置することによって発生するコストの上昇は、コスト配分のバランスを崩す可能性があります。こうしたレガシーシステムの刷新にはビジネス上の重要な決断と大規模な投資、そして「壊れていなければ修理しない」という既存の考え方を改める“意思”が求められるのです。

サイバーセキュリティの観点にとどまらず、システムをシンプルにするメリットは多々あります。しかし、それが「簡単に実現できる」というのは幻想です。ガバナンスと責任共有のフレームワークを確立すると同時に複雑性を軽減するには、長期的にも短期的にも慎重に行動することが必要です。また、シンプル化の価値を理解し、そのメリットについて「経営陣全体のマインドセットを変えるためには投資を惜しまない」というCEOや取締役会の姿勢、そして情熱も求められます。

リーダー自らが積極的に行動し、変革の方向性を示すことで、セキュアな企業の実現に向けた、より良いブループリントを描けるのです。

Richard Horne は、サイバーセキュリティ分野の著名なリーダーであり、世界中の政府・企業・法的執行機関・規制当局に提言を重ねてきた。PwC英国サイバーセキュリティ・プラクティス・リーダー。PwC英国パートナー(ロンドン在住)。

Sean Joyceは、PwCグローバルおよびPwC米国サイバーセキュリティ&プライバシーのリーダー。PwCネットワークのサイバー関連サービスのグローバル展開を支援し、デジタルスレット、リスク対応のベストプラクティス・サイバーセキュリティをビジネスイネーブラーとして活用する方法をアドバイスしている。PwC米国プリンシパル(バージニア在住)。

PwC米国のディレクターであるMichael Versaceも執筆に貢献した。

1. 航空事故から原子力発電所の故障まで、大惨事の原因となるのは、複雑性と「close coupling(緊密な結合)」であることが多い。小さな不具合が広範囲に及ぶ故障へと連鎖する惨事については、これまでもさまざまな学術研究が行われている

Hello Tomorrow illustration - person looking through a keyhole

Hello, tomorrow. 明日を見通す。未来をつくる。

PwCは、市場をリードする調査やデータ、専門的な分析を用いて、ビジネスに影響を及ぼす要因を特定します。グローバルのマクロトレンドや業界固有のパラダイムシフトを検証し、変化を生み出す最新のテクノロジーツールを特定して、クライアントが豊かな未来をつくり出せるよう支援します。

詳細はこちら

※本コンテンツは、PwCが2021年1月18日に発表した「Simplifying cybersecurity」を翻訳したものです。翻訳には正確を期しておりますが、英語版と解釈の相違がある場合は、英語版に依拠してください。

関連情報