
ヘルスケアデータ二次利用による企業価値向上を支える「デジタルコンプライアンス」の在り方(小野薬品)
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
近年、企業におけるセキュリティ課題は難題化しています。もはや、技術の積み上げや実態への対応だけでは解決が難しく、発想の転換や別領域で活用されている技術の応用が求められています。こうした状況下、PwCコンサルティング合同会社と慶應義塾大学は2021年10月、「企業のセキュリティを実効的に進化させることで、安心安全な世界の実現に貢献する」ことを目指し、共同研究を開始しました。本対談では、研究から生まれた「インテリジェンス連動型セキュリティメトリクス」をテーマに、慶應義塾大学の砂原秀樹氏と佐藤千尋氏をお迎えし、お話を伺いました。
(本文敬称略)
登壇者
慶應義塾大学
サイバーセキュリティセンター センター長
大学院メディアデザイン研究所 教授
砂原 秀樹氏
慶應義塾大学
大学院メディアデザイン研究科 専任講師
佐藤 千尋氏
PwCコンサルティング合同会社
ディレクター
上村 益永
PwCコンサルティング合同会社
ディレクター
村上 純一
(左から)村上 純一、上村 益永、砂原 秀樹氏、佐藤 千尋氏
上村:
最初にアカデミアの視点から、昨今のセキュリティの置かれている状況や課題をどのように捉えていらっしゃるのか教えてください。
砂原:
企業におけるセキュリティ課題は複雑であり、解決には現場でのノウハウが使われてきました。一方、アカデミアの視点では課題と解決策を整理・体系化し、専門家でない人にも分かりやすい形にする必要があると考えています。
上村:
佐藤先生はいかがですか。
佐藤:
セキュリティを担う人たちの業務の内容は多角化しています。また、それぞれの専門性も多様化しています。アカデミアの立場としては、専門性と多様性の両方を担保し続けなければいけませんが、これもなかなか複雑であると感じています。
上村:
今回、「サイバーインテリジェンス連動型セキュリティメトリクス管理」に関する共同研究を進めるにあたり、私たちからはいくつかのテーマを提示しました。その中で「インテリジェンス」と「セキュリティメトリクス」を個別のテーマとして提示したところ、砂原先生から「この2つをマージして1つのテーマとして取り組んでみてはどうか」という提案をいただきました。砂原先生にお伺いしたいのですが、どのようなことを期待されてのご提案だったのでしょうか。
砂原:
インテリジェンスはセキュリティの最前線です。一方メトリクスは、情報を整理して、あるモデルの中で形を作っていくものです。この2つがつながらないと、最前線でサイバー脅威と対峙しているセキュリティのプロたちはずっと戦い続けなければいけないし、メトリクスの担当者は後方でその様子を観察して考えることしかできません。ですから、インテリジェンスがメトリクスにすぐにつながり、かつ、みんなに分かりやすい形で提供することが必要だと考えました。
上村:
ここで「インテリジェンス連動型セキュリティメトリクス」のコンセプトについて説明させてください。下図の左側にあるセキュリティメトリクスは、組織目標の達成を促すような定量的な指標です。一方、右側のサイバーインテリジェンスは、企業内の活動に有意義な「密度の高いインフォメーション」を指します。
従来は分断されていた両者を連動させることで、企業にとって有益な仕組みになり得るのではないかと考えています。では、サイバーインテリジェンスについて、村上さんから詳細の説明をお願いします。
村上:
サイバーインテリジェンスという考え方は、PwCが提唱している概念です。さまざまな情報、例えば地政学リスクやマクロ経済に関する動向、ダークウェブで入手できる非公開情報といったあらゆる情報を総合的に分析し、企業が自社のレジリエンスを高めるための知見を獲得し、活用する一連の活動です。
今回の研究は、このサイバーインテリジェンスをどのようにメトリクスに関連づけるかというものです。インテリジェンスとメトリクスがつながった世界では、外部の情報に応じて、組織内部のセキュリティの考え方や目標の見直しが行われ、臨機応変に態勢を変えられるようになると考えています。
なお、PwCはインテリジェンスを生み出して提供する立場であり、重要な点が2つあると捉えています。
1つはインテリジェンスを活用する組織の内部の現状や課題、その目的を把握することです。インテリジェンスを生み出す部分は、収集した情報を分析して提供します。この分析は組織の活用に根ざしたものでなければなりません。
2つ目は情報を提供し、フィードバックを受けるというサイクルを回すことです。1回の提供では“誤差”が発生するという難しさがありますが、フィードバックのサイクルを回していくことで精度を向上させられます。こうした継続的な取り組みは重要であると考えています。
慶應義塾大学 サイバーセキュリティセンター センター長 大学院メディアデザイン研究所 教授 砂原 秀樹氏
慶應義塾大学 大学院メディアデザイン研究科 専任講師 佐藤 千尋氏
上村:
メトリクスを作るにあたっては、「サービスデザイン」の概念が導入されました。その狙いを教えてください。
砂原:
セキュリティには、現場で起こっている「問題」とその「解」があります。ただし、これらの「問題と解」はそれぞれが独立しているものではなく、他の要因も関係しています。そうした関係性を現場では理解していても、他の人たちにまで伝えることは難しいのです。ですから企業内のセキュリティを整理し直して、モデルを作るべきだと考えました。
この取り組みにサービスデザインの概念を導入した理由は、言語化と数値化によって分かりやすく明確な評価ができるようになると考えたからです。これらが実現すれば、いわゆる専門家以外の人間であっても、セキュリティに取り組めるようになります。これまでのように、(セキュリティ対策は)担当者に言われたからやるというのではなく、みんなが対策の必要性を理解し、納得したうえで守るという意識、態勢に変わっていくでしょう。ここが今回の取り組みにおけるもっとも重要な要素です。
上村:
過去には実効性を求めて可視化したものの、形式化してしまうというような失敗例もありました。今回の研究で、実効性を担保するためにどのような施策を考えていらっしゃいますか。
砂原:
実効性を担保する施策は、リアルなサイバー脅威とその対策に基づいて作れるかどうかです。そのためにも「サービスデザイン」という観点を取り入れたのです。
上村:
佐藤先生には、サービスデザインの観点から、メトリクスの設計に関わる解析などに携わっていただいています。その観点をご解説いただけますか。
佐藤:
サービスデザインでは、限りある資源とどう向き合うかという「リソースマネジメント」の考え方があります。提供したい価値を正しい相手に届けるためには資源を統合し、適切なリソースとして届ける必要があります。そうした能力を、我々はインテグリティと呼んでいます。
例えば、今までのセキュリティ対策では対処できないゲームチェンジャーが出現した場合には、何から手を付けたらよいか分からず、思考停止に陥りがちです。もちろん、そうならないためにはあらゆる手段を講じてすべてを守るのが理想ですが、現実は難しいでしょう。ですから現実解として「コアとして守るべきものは何か」を把握し、優先順位をつけて守るというアプローチが必要です。それができる能力がインテグリティです。
サービスデザインが目指すのは、インテリジェンス情報をビジネスで理解できる言語に“翻訳”し、業務の隅々にまで届けることです。これを実現するためには、リソースマネジメントに対応できるインテグリティを持った人材が求められると考えています。
上村:
セキュリティの専門知識だけでなく、自社のビジネスを俯瞰できる視点も必要ですね。企業はそうした人材を内部で抱えていかなくてはなりません。
砂原:
スキルセットの文脈で言うと、「営業」のように自分たちがやっていることを顧客に効果的に伝えるスキルも重要です。営業とは「自社が開発・販売している製品の素晴らしさを、相手が理解できる言葉で伝える」という重要な役割を担っています。顧客の課題が何であり、この製品を導入することでどのような価値を提供できるのかを説明するには高いスキルが必要です。そうしたことを理解させるのも人材育成の重要なポイントです。
ですから、自社でどのような取り組みをしているのか、社会に対してどのような価値を提供しているのかを理解し、日々刻々と変化する状況にどのように対応させるかといった知識を得て、体系立てて説明するというスキルを身に付けることが重要です。
佐藤:
砂原先生がおっしゃるとおりで、それも含めたスキルセットだと思います。「何のためのセキュリティ対策か」を考えた場合、社会基盤の維持や組織の信頼など、さまざまなゴールやミッションがあります。それに貢献できる人材として、メトリクスを使いこなせるスキルセットの醸成は非常に重要だと考えます。
上村:
「インテリジェンス連動型セキュリティメトリクス」のコンセプトでは、アジリティを重要視しています。企業のデジタルトランスフォーメーション(DX)に伴ってアタックサーフェスは増加し、攻撃手法も目まぐるしく変化する状況では、必然的にセキュリティマネジメントにもアジリティが求められると考えたからです。
理想としては、一時的な脅威や特定の脅威に対しても、適宜、適切な態勢変化を促していくことです。リスクに対してピンポイントの対応が可能になれば、効率的かつ効果的なマネジメントが実現すると考えています。
「インテリジェンス連動型セキュリティメトリクス」のアーキテクチャでは、セキュリティメトリクスをエンジンとして、全体を自律的にマネジメントします。その仕組みについて説明させてください。
まずは外部からのサイバーインテリジェンスを獲得し、サイバーセキュリティメトリクスに入れます。そして定量化された企業固有のリスクに関する情報に基づき、セキュリティ戦略や方針、日々の運用方針などをアップデートし、各部門で実施されているセキュリティ業務にインプットします。そこで得られた日々の活動の記録がマトリクス側に吸い上げられ、企業内の態勢が可視化されていくという仕組みです。
砂原先生に伺いたいのですが、セキュリティに関するデータ取得活用の試みについてはどのようにお考えでしょうか。
砂原:
例えば、標的型攻撃対策としてスパムフィルターを導入していたのに、ある日突然ランサムウェア攻撃被害にあってしまったという企業がありました。これは、もともと導入していたソフトウェアにセキュリティホールがあるという情報は掴んでいたのに、修正パッチ適用を後回しにしていたために招いてしまった事態です。
以前センサーネットワークの研究をやっていたときに議論されていたのは、「何のためにどのデータが必要なのか」です。私はこの発想は逆だと考えていました。「あらゆるデータを並べて、それらを分析して知見を得る」という方法がデータ活用のあり方だと考えます。
同様にセキュリティの世界も「どのデータ/情報があるのか」をすべてテーブルの上に載せて可視化し、さまざまな仮説を立てると対策の準備ができると考えています。特にゲームチェンジャーの出現によってこれまでとは違う対策を求められる際に、メトリクスに使用可能なたくさんのデータがあれば、なぜそのような攻撃被害に遭ってしまったのか、どこに対策の穴があったのかが分かりますよね。
ですから、まずは情報をすべて机の上に並べて、どう分析するかを議論できる環境を作ることが重要なのです。それが今回の研究の中で1番面白いところであると考えています。
PwCコンサルティング合同会社 ディレクター 上村 益永
PwCコンサルティング合同会社 ディレクター 村上 純一
村上:
今回の「インテリジェンス駆動型セキュリティメトリクス」のコンセプトには、さまざまな価値が含まれています。まずは、実効性とアジリティです。また、メトリクスによる一般化とインテリジェンスの先鋭の両立もできると考えています。
さらに、このコンセプトが実現すれば、別の価値が生まれると期待しています。
例えば、メトリクスで企業内部の現状が可視化されることで、説明責任にも寄与することになるでしょう。仮に何らかのインシデントがあった際に、自社がどういう状況でどこまで把握していたのかをしっかり説明できるような環境が整備されれば、企業における「透明性の向上」という新たな価値となり得ると思います。砂原先生のお考えはいかがでしょうか。
砂原:
このようなメトリクスを作って態勢を整え、維持していることを社外に対してどのように説明していくかがポイントだと思います。現在、頻発しているサプライチェーン攻撃の対応では、信頼関係の構築が重要になっています。こうした取り組みから生まれた成果によって、社会全体としてよくなることが期待されているのではないでしょうか。
上村:
企業は従来「非財務情報」という形で、セキュリティ施策に関する情報を発信していました。しかし、少し形式的といいますか、取り組みを一方的に伝えているだけというイメージがあり、「信頼」を得るほどの透明性には至っていない印象があります。
今後は企業が社会、あるいはサプライチェーンに向き合っていくにあたり、リアルに状況を把握し、だれにでも分かりやすい形で示すことが求められると思います。そういう意味でも、このメトリクスという仕組みは非常に価値があると考えています。本日はありがとうございました。
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
アイデンティティ(ID)管理のソリューションが求められる背景や導入の要点、やってしまいがちな失敗とその対策などについて、ID管理を手掛ける企業の専門家3名にお話を伺いました。
膨大な量の個人情報を扱うリクルートのデータ保護・プライバシー保護専門部署の責任者と、プライバシー&セキュリティコンサルティングを専門とする弁護士を招き、今必要とされている取り組みと今後の展望を議論します。
2021年2月に施行されたデジタルプラットフォーム取引透明化法の中で注目されている「モニタリング・レビュー」。同法に携わる経済産業省の担当者をお招きし、モニタリング・レビューの果たす意義と新しい時代におけるトラストのあり方を伺いました。
各国サイバーセキュリティ法令・政策動向シリーズの第4回目として、メキシコ政府のデジタル戦略と組織体制、セキュリティにかかわる法律とその動向などについて最新情報を解説します。
各国サイバーセキュリティ法令・政策動向シリーズの第3回目として、シンガポールのデジタル戦略やサイバーセキュリティへの取り組みについて、最新情報を解説します。
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。
デジタル技術の進化や地政学的緊張の高まりの中で、企業は多数のサイバーリスクに直面しています。本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべきリスク対応策について考察します。