{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
デジタル化が進む現代のビジネスにおいて、サイバーセキュリティとデータプライバシー対策は最重要事項の1つです。サイバー攻撃やシステム障害などが発生した際には、業務の継続・復旧、そして被害状況の把握を第一に考え、迅速に対応しなければなりません。その対応策の核となるのが、ビジネスとセキュリティ・プライバシーの連携強化です。本セッションではトップ企業のセキュリティ・プライバシー責任者の方々をお招きし、セキュリティやプライバシー対応、さらにこれらを的確に実行するガバナンスの在り方について、お話を伺いました。(本文敬称略)
登壇者
株式会社セブン&アイ・ホールディングス
グループセキュリティ統括室長
廣畑 順也氏
株式会社三菱UFJフィナンシャル・グループ
株式会社三菱UFJ銀行
CISO サイバーセキュリティ推進部長
峰 匡親氏
ANAホールディングス株式会社
取締役常務執行役員
梶田 恵美子氏
経済産業省
サイバーセキュリティ・情報化審議官
上村 昌博氏
PwC Japanグループ
サイバーセキュリティ&プライバシー リーダー
PwCコンサルティング合同会社
上席執行役員 パートナー
林 和洋
PwC Japanグループ
サイバーセキュリティ&プライバシー リーダー
PwC Japan有限責任監査法人
上席執行役員 パートナー
綾部 泰二
左から綾部 泰二、林 和洋
サイバーセキュリティ経営ガイドラインから読み解く経営者に求められる役割
セッション冒頭、PwC Japanグループのサイバーセキュリティ&プライバシー リーダーを務める林和洋は、企業が直面している新たな経営リスクとして「生成AI」を挙げました。
PwCが毎年実施している「世界CEO意識調査」によると、多くのCEOは「生成AIはビジネスを加速させる強力なツールと期待する一方、サイバーセキュリティのリスクである」と認識していることが明らかになりました。
林は「生成AIリスクのマネジメントには経営者のコミットメントが必要です。経済産業省が2023年3月に公開した『サイバーセキュリティ経営ガイドラインVer.3.0』でも、セキュリティリスクに対する経営者の責任をよりクリアにするという観点での見直しが行われています」と指摘します。
経済産業省でサイバーセキュリティ・情報化審議官を務める上村昌博氏は「サイバーセキュリティ経営ガイドラインVer.3.0」の内容を踏まえたうえで、経営者に求められるサイバーセキュリティ対策について「組織変革や成長のためにデジタル技術を活用することは不可欠です。『デジタルガバナンスコード2.0』※が示すように、デジタル技術は新しい価値を生み出す成長の原動力であり、サイバーリスクを恐れて使わないという選択肢はありません」とコメント。そのうえで、サイバーセキュリティリスクが経済・社会に与える影響について、以下のように指摘します。
※デジタルガバナンスコード2.0:経済産業省が2022年6月に公表した、企業のデジタルガバナンスのあり方を示すガイドライン。
「デジタル化の進展により、サイバーセキュリティが関係する対象範囲は広がりました。サプライチェーンも、組織だけでなくIoT機器やソフトウェアとの連携が進むなど、サイバー攻撃の対象となる領域(アタックサーフェス)も拡大しています。加えて、ESG投資の拡大に伴う内部不正対策など、コーポレートガバナンスへの注目も高まっています。地政学的な状況を踏まえ、攻撃の意図や手法をどのように防御策に反映させるかも検討が必要です。さらに、生成AIや偽情報を用いた活動によるリスクも増加しています。そうした状況において経営者は、サイバーセキュリティにかかわる内容について、どの程度の残存リスクを許容するのか、事業継続のためにセキュリティ投資の水準をどう決定するのかといった判断が求められているのです。さらに、経営者はサイバーセキュリティリスクの拡大の中、根本的な対応の変化、責任の再配分(リバランス)に適切に対応していく必要があります」(上村氏)。
「根本的な対応の変化」「責任の再配分(リバランス)」とは、従来のようにIT製品・サービスの利用段階で多大なセキュリティ対策を行うのではなく、製品やソフトウェアの設計・製造段階から安全性を確保し、ユーザーが製品・サービスを使用開始する時点で、すでにセキュアなものになっているようにすること、また、世界的なセキュリティ分野での規制、ルール強化の方向に対応していくことを指します。
近年は「Secure by Design」や「Secure by Default」という概念が改めて注目されており、日本をはじめ10数カ国が、それら概念を踏まえた新たな政策文書に署名しています。また生成AIについても、内閣府は「セキュアAIシステム開発ガイドライン」を公開しています。さらに、世界ではサイバーセキュリティ被害の報告義務化やIoT製品の認証取得などの規制が強化される方向にあります。それに対して上村氏は「こうした政策文書やガイドラインの策定・公開、また、報告義務化や認証取得といった規制強化は、セキュリティにかかわる各種情報の収集・蓄積・分析に資するものであり、被害拡大の防止、同様の事案の未然防止に貢献し、安全性の可視化につながっていくと考えられます」と指摘します。
日本でもグローバルな動きに対応するため、サイバーセキュリティ経営ガイドラインやSBOM(ソフトウェア部品表)導入の手引き、サイバー攻撃被害情報の共有・公表ガイダンス、攻撃技術情報の活用手引きなどが公表されています。さらに現在はIoT機器のセキュリティ適合性評価制度やスマートファクトリーのセキュリティ対策ガイドラインの拡充も検討されています。上村氏は「こうしたガイドラインや評価制度を遵守・活用することは、自組織だけでなく、関係組織のセキュリティ確保につながります。各組織はその能力に応じてサイバー空間全体の安全性向上に貢献する責任があるのです」と力を込めます。
最後に上村氏は「経営者には部署横断的に構成員一人ひとりのセキュリティ意識を高め、セキュリティマインドの近年は「Secure by Design」や「Secure by Default」という概念が改めて注目されています。もとで取り組みを推進するための強力なリーダーシップを発揮することが求められています」と指摘。「守る側が創意工夫を共有することも極めて有益であり、重要です。官民がともに取り組んでいきましょう」と呼びかけました。
上村 昌博氏
左から林 和洋、廣畑 順也氏
先進企業の取り組み1
セブン&アイ・ホールディングス
―固有リスクを認識し、適切な対策を講じる―
企業が参考にするセキュリティガイドラインとして筆頭に挙げられるのが、米国国立標準技術研究所(NIST)が開発した「NIST Cybersecurity Framework」です。2023年1月に公開された「NIST Cybersecurity Framework Version 2.0」では、サイバーセキュリティガバナンスとサプライチェーンリスクに関する改訂や強化が行われています。
では、企業はサイバーセキュリティガバナンスをどのように捉えているのでしょうか。セブン&アイ・ホールディングスでグループセキュリティ統括室長を務める廣畑順也氏は、「会社のガバナンスのあり方に沿ったサイバーセキュリティガバナンスを策定することが重要だと考えています」と語ります。
グローバルに事業を展開するセブン&アイ・ホールディングスは、多様な業種業態が集まったグループ企業です。同社ではグループ標準のセキュリティレベルは必要最小限に抑え、そのうえで各社が自社固有リスクに応じて対策を講じています。廣畑氏はそのアプローチを以下のように説明します。
「セキュリティの成熟度を向上させるためには、グループ共通の標準を定めて全社で遵守するとともに、各社が自社ビジネスの固有リスクを認識し、各自で対策を講じることが重要です。セブン&アイではセキュリティ成熟度を5段階で設定しており、現在の自己評価は中位の3としています。各社が固有リスクに対する防御策を適切に講じれば、その成熟度が1段階引き上がるといった運用です」(廣畑氏)。
もう1つ重要視しているのが、顧客接点となる「デジタルID(Identity)」のセキュリティです。セブン&アイではデジタル戦略を推進しており、デジタルIDを重要なアセットと位置づけています。廣畑氏は「グループの成長戦略に合わせたセキュリティ戦略を立案し、デジタルIDのセキュリティを確保したうえで顧客接点を長く保ち、ビジネスに貢献していくことを目指しています」と説明します。
さらに廣畑氏は「懸念事項の1つ」として生成AIによるディープフェイクやフェイクニュースのリスクを挙げました。対策としては信頼できる情報ソースの確保とファクトチェックの仕組みを構築すること。そして問題が発生した場合に備えて、事前に社内で認識を合わせておくことが重要だと指摘しました。
先進企業の取り組み2
三菱UFJフィナンシャル・グループ
―ペネトレーションテストで継続的な対策改善―
グローバルに事業を展開する企業にとって、世界中の攻撃アクターを把握することは不可欠です。PwC Japanグループは、世界中の300以上の攻撃アクターを観測し、そのうちの29が日本を標的としている攻撃アクターであることを特定しました。そして、これらの脅威に対する自社の施策を紹介したのが、三菱UFJフィナンシャル・グループ(以下、MUFG)、三菱UFJ銀行でCISO サイバーセキュリティ推進部長を務める峰匡親氏です。
MUFGはグローバルにビジネスを展開しているため、守るべき範囲は広範囲にわたります。峰氏は「直近の3年間で特に注力してきたのは、外部インターネットとの接点における対策強化と、高度化・組織化する攻撃に対応するための内部環境の強化です」と説明します。
注力している施策の中で最も進捗しているのは、インターネットに接続しているITアセットのアタックサーフェスマネジメントとのこと。ただし実際には想像以上に大変な作業であったそうで、峰氏は次のように振り返ります。
「社内外から情報を収集し、それらを突合して精度を上げる作業は非常に困難でした。さらに、外部からのスキャンによってサービスに影響が出ないよう、細心の注意を払う必要がありました。ITアセットや外部環境は常に変化しているため、対策強化のサイクルを継続的に回していく重要性を日々実感しています」(峰氏)。
対策を継続的に強化するには、その実効性を定期的に確認しなければなりません。MUFGでは定期的に脅威シナリオベースのペネトレーションテスト(TLPT)を実施しており、そこで得た知見を生かして関連システムに展開し、不備がないかを確認しているといいます。ただし、課題となるのが「コスト」と「期間」です。
「TLPTは、主に外部ベンダーに委託しています。そのため、準備からテスト、検証、報告までのプロセスに半年近くの時間を要しており、対応面とコスト面の観点から、TLPTの実施頻度を高めるには限界があります。この問題を解決するために、システム単位のペネトレーションテストの充実や社内でレッドチームを結成し、能動的かつ機動的に検証できる体制の構築を検討しています」(峰氏)。
さらに峰氏は「DXの進展に伴う新サービスのセキュリティ担保には、リスクを先取りした対策が非常に重要です」と指摘します。
現在、金融業界のビジネスは大きな変化を遂げています。これまでの伝統的な業務に取り組むことに加えて、異業種のパートナーと連携することで、新たなサービスを創出する機会が増加しました。しかし、そこで懸念されるのが、セキュリティの確保です。新たなパートナーとの連携に際しては、相手方のセキュリティ体制を十分に確認し、必要な対策を講じることが不可欠です。
こうした対策として、MUFGではサイバーセキュリティ推進部署内に「リサーチ&コンサルティングライン」を組成しました。そして、ビジネス部門が新サービスの開発を検討する時には早期からセキュリティチームが参加し、セキュリティの観点から問題がないかを確認する体制を構築しているといいます。
峰氏は「DX推進の加速に伴走していくことが、セキュリティ部門の存在価値にもなると考えています。今後も新技術の動向に注視しつつ、コンサルティングファームの知見も活用しながら対応していきたいです」と、その意気込みを語りました。
左から林 和洋、峰 匡親氏
左から林 和洋、梶田 恵美子氏
先進企業の取り組み3
ANAホールディングス
― マーケティングとプライバシーガバナンスのタッグでビジネスを加速 ―
グローバルにビジネスを展開している企業にとって、海外事業の経営課題として近年最も多く挙げられるのが、デジタル分野の法令やガイドラインへの対応です。特に、データプライバシーのガバナンス構築は喫緊の課題となっています。
ANAホールディングスで取締役常務執行役員を務める梶田恵美子氏は、「プライバシーガバナンスを強化するには、経営トップ自らがガバナンスの重要性を社内全体に向けて継続的に発信することです。仕組み作りへの人的資源の配分や、リーダーシップを発揮して投資を決断するなど、目に見える形でコミットメントを示すことが重要です」と力説します。
顧客との関係性を発展させるには、顧客データを多角的に分析し、そのニーズをきめ細かく捉えることが求められます。当然、顧客データの利活用は、法令遵守だけでなくプライバシーに配慮しなければなりません。「お客様に安心してサービスをご利用いただくには、お客様に寄り添い、価値を提供し続けること大切であり、それが私たちの責務です。マーケティングとプライバシーガバナンスがタッグを組んで、事業展開に臨まなければなりません」(梶田氏)。
ANAホールディングスでは現在、プライバシーガバナンス行動原則を策定中だと言います。世界各国で設定されているプライバシーに関する法規制を遵守しつつ、規制が変更された際には迅速かつ適切に対応する必要があります。梶田氏はその取り組みを以下のように説明します。
「EUのGDPR(一般データ保護規則)を皮切りに、米国、中国、シンガポールなど、グローバル事業の展開に大きく影響する国々を中心にプライバシー関連の法規制が強化され、監視の目がますます厳しくなっています。私たちは社員一人ひとりがプライバシー保護の重要性を理解し、能動的にデータと向き合えるよう、体系的な教育にも着手しています」(同氏)。
最後に梶田氏は将来の展望について「航空業界全体でもデータの越境移転規制には強い関心を持っており、国際機関や業界団体での議論が行われています。ANAグループとしても業界団体の動向を注視しつつ、積極的に発信していきたいと考えています」と語りました。
3社の取り組みを伺い、林と共同でPwC Japanグループのサイバーセキュリティ&プライバシーリーダーを務める綾部は日本企業への推奨事項として、「ビジネスとセキュリティの連携強化」「セキュリティガバナンスの広さと深さの実践」「サイバーインテリジェンスの強化」の3点を挙げます。
デジタル化が進む中、事業の継続性を確保するには、サイバーセキュリティのリスク管理が不可欠です。同時にさまざまな協業先やビジネスパートナーと一緒になってビジネスを成長させるためには、サプライチェーン全体でサイバーリスクを管理する「広さ」と、経営者がコミットしてセキュリティを管理する「深さ」が求められています。さらにグローバル企業は脅威アクターの攻撃手法だけでなく、新しい法規制やガイドラインを的確に把握・管理しなければなりません。
最後に綾部は「これら3点を念頭にサイバーセキュリティ対策を強化しなければ、ビジネスの展開自体が危うくなる可能性があります」と指摘し、全体セッションを締めくくりました。
綾部 泰二
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
