{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
PwCコンサルティング合同会社は2023年9月、慶應義塾大学国際経営学修士(ダブルディグリー)(※)プログラムに参加している大学院生を対象に、PwCの知見を生かした「ビジネスにおけるサイバーセキュリティの現状」を学ぶプログラムを実施しました。本稿ではそのプログラムの様子を紹介します。
※https://www.ic.keio.ac.jp/keio_student/dd/cems/overview.html 世界中のビジネススクールと多国籍企業が提携し、学生にビジネススキルと経験を提供する国際的なマスタープログラム。現在、12名の留学生が慶應義塾大学で学んでいる。
現代のビジネスにおいて、サイバーセキュリティは欠かせない要素です。デジタルトランスフォーメーション(DX)やサプライチェーンの多様化、スマートファクトリーへの移行といった最新テクノロジーを活用したイノベーションが進む状況下、サイバー攻撃は増加しています。企業が十分なセキュリティ対策を講じず被害に遭った場合、金銭的損失やビジネスの停止といった経済的な打撃を受けるのはもちろん、競争力や社会的信用も失墜してしまいます。経営に携わる者はサイバーセキュリティの重要性を理解し、最新のサイバー攻撃動向を把握しつつ、対策を講じなければなりません。
かねてからPwC Japanグループではグローバルに有するネットワークやビジネスの専門性を活用し、アカデミアとの共同研究や産学連携機能の高度化を推進してきました。ビジネスのグローバル化が加速する現在、高い視座を持ってビジネスを学び、異なる文化や多様な価値観を尊重できるグローバル人材の育成を支援することは、PwCにとって大切なミッションです。今回はその一環として慶應義塾大学からの要請を受け、同校の国際経営学修士プログラムに参加する学生たちに、ビジネスにおけるサイバーセキュリティを学ぶプログラムを実施しました。
具体的にはビジネスにおけるサイバーセキュリティの現状と課題、その対策アプローチに関する講義やVR(Virtual Reality:仮想現実)ゴーグルを利用したセキュリティレスポンスの疑似体験などです。さらに運転シミュレーターを利用した自動運転自動車に対するサイバー攻撃体験や、模型を使ったスマートシティのデモンストレーション、自律走行車いすなどを見学しました。
プログラムの最初は、PwCコンサルティング合同会社パートナーの上村益永による講義です。経営層の視点と担当者の視点から見たサイバーセキュリティの現状と今後の展望について、以下のように説明しました。
2020年に発生した新型コロナウイルス感染症の流行や2022年のロシアによるウクライナ侵攻の影響で、組織を取り巻く環境は急激に変化し、サイバーリスクに対する懸念がさらに表面化しました。日本に対しても国家レベルの高度な組織によるサイバー攻撃の数が急増しています。
新型コロナウイルス感染症拡大に伴うテレワークへの移行後、企業のセキュリティインシデントは急増しています。サイバーセキュリティの脅威トレンドを見ると、新しい脅威は毎月発生し、その脅威の度合いは激しく変化しています。
特に注視すべき点は、近年のサイバー攻撃がビジネスに直接的な影響を与えるインシデントを発生させるようになっていることです。インシデントに関する報道を見ても、以前は情報漏えいの件数でしたが、最近は「生産ラインが何日間停止した」「サイバー攻撃が原因でいくらの減益となった」といったことに重点が置かれています。
機密情報や個人情報を漏洩させてしまった場合、法的責任や訴訟リスクを抱えることになります。また、ランサムウェア攻撃によりシステムが停止すれば、業務停止に伴う機会損失や復旧コストが発生します。さらに自社がサプライチェーン攻撃の“入り口”になってしまえば、製品供給の中断のみならず、信頼性の低下にもつながります。経営層にはセキュリティ対策の強化はもちろん、サイバー攻撃に遭った場合には、被害状況やその影響範囲といった情報を速やかに開示することが求められています。
もう1つ、経営層が脅威として認識すべきは、サプライチェーンのセキュリティリスクです。DXの加速によって、サプライヤーとのつながりは密接かつ複雑になりました。現在の地政学的対立に鑑みれば、自社だけでなくサプライヤーのデジタルリスクまで考慮する必要があります。PwCが2022年10~11月に実施した第26回世界CEO意識調査によると、約半数のCEOが今後12カ月間で地政学的対立による悪影響を軽減するために検討している施策として、「サイバーセキュリティやデータプライバシーへの投資拡大」「サプライチェーンの見直し」「現在の市場における自社プレゼンスの見直しや新規市場への進出」を挙げています。
さらに、企業活動の根幹を成すOT(Operational Technology:生産ラインやシステムの制御・運用技術)のセキュリティ対策も喫緊の課題です。スマートファクトリーに代表されるように、現在は各種機器がネットワーク経由で相互接続しています。これまで独自プロトコルを使用していた環境でも汎用的なEthernetで接続するようになり、OTに対する攻撃のハードルは下がりました。OT環境に対する攻撃で社会インフラを構成する装置や大型製造機器が誤作動を起こせば、人命を脅かす事故に直結します。そのビジネスダメージは計り知れません。OTへのサイバー攻撃は、企業経営の根幹を揺るがす深刻な脅威です。
こうした攻撃に対し、セキュリティ担当者はどのように対処していくべきか。中長期計画を策定して推進する従来のアプローチでは、激変するサイバー脅威への対応が難しいのが現状です。有力な解の1つとなるのが、「リスクベースアプローチ」です。リスクベースアプローチとは、自社のビジネスに影響を及ぼすリスクと、それを発現させうる脅威に目を向けて戦略策定やアクションを決める手法です。日々出現するサイバーセキュリティに係るインテリジェンスをタイムリーに入手して自社への影響を分析し、「どの領域に対する脅威が急増しているか」「優先的に対応すべきはどの領域で何をすべきか」を判断しながら環境変化に対して柔軟に対策を講じます。
リスクベースアプローチへの変革の成功要因になるのが、メトリクスによる動的なセキュリティマネジメントの実現です。その方法は次の通りです。
こうした対策を講じたうえで大切なのは、組織全体にセキュリティ文化を醸成することです。地道な努力ですが、経営層および従業員に対する継続的なセキュリティ教育と訓練は不可欠です。
将来、皆さんがビジネスの中核を担うようになった際には「セキュリティ戦略はビジネス戦略」であると考えてもらえると嬉しいです。
講義後の質疑応答では、「どのようなツールでセキュリティ対策をするのか」「サプライチェーンリスクを回避するために有効な手立ては何か」「中国のCEOによるサイバーセキュリティの注目度が他の国・地域のCEOより低いのはなぜか」といった質問のほか、「サイバーセキュリティ領域で注目しているスタートアップ企業を教えてほしい」など、ビジネスを学ぶ学生ならではの質問も挙がりました。
中でも学生が熱心にメモを取っていたのは、「欧州のデータ保護について、日本企業はどのように捉えているのか」との質問に対する回答で、上村は以下のように解説しました。
国や地域によってデータ保護政策が異なっており、プライバシーに対する考え方が違うのは、文化的背景の違いが根底にあります。日本の場合、「プライバシーは企業が個人に代わって守るもの」という認識が他の国・地域よりも色濃くあるのかもしれません。政府は企業に対して顧客や個人のプライバシーを保護するように促しており、個人に対しても自分のプライバシーを守るための意識醸成に取り組んでいます。しかし、多くの人々は、「(自分が何もしなくても)プライバシーは保護されている」と考える傾向があります。こうした文化的な差異を理解することは、データを活用したビジネスを考えるうえで非常に重要です。
講義後は、PwCコンサルティングの「Technology Laboratory」で、自動運転自動車やスマートシティに対するサイバー攻撃のデモを体験しました。
2020年7月に開設したTechnology Laboratoryは製造や通信、社会基盤、ヘルスケアなどの事業領域が抱える課題に対し、テクノロジーを有効に活用しながら解決することをミッションとした施設です。単なるテクノロジーの実装支援や公共的な知見の提供だけにとどまらず、「実際の現場ではどのようなテクノロジーが必要なのか」を分析し、テクノロジー開発のシナリオ構築に役立てています。今回は実際にコネクテッドカーがサイバー攻撃に遭った状況を、運転シミュレーターを使用して体験しました。
スペイン・バルセロナ大学院 データサイエンス(データ分析)専攻/ドイツ出身
大学の授業ではコミュニケーションやブランド戦略立案の方法などを学んでいますが、日本のコンサルタントから直接話を聞けたことはとても新鮮でした。大学院ではこれまでデータ活用をしていなかった企業や新興企業がデータ活用で新ビジネスを創造するアプローチを研究しています。講義を受けて、データ活用をビジネスのコアとする企業は、データプライバシー保護と同様にサイバーセキュリティ対策も重要なイシューにしなければいけないことを学びました。この分野はもっと深く掘り下げて学ぶ必要があると実感しました。
近年、学生たちの間ではセキュリティに関する意識が非常に高まっています。今回来日しているビジネススクールの学生たちは、日本の企業文化やコミュニケーションのあり方、多岐にわたるビジネスに興味関心を持っており、この度第一線で日々多様な顧客と向き合っているコンサルタントの方々から直接お話を聞けることをとても楽しみにしておりました。本プログラムでは、半日という限られた時間にもかかわらず、座学・デモ体験・議論を兼ねた大変効果的な学びの場を提供いただきました。サイバーセキュリティの重要性のみならず、コンサルティング業務の詳細、日本で働く上で大事な心得など、幅広く学べる貴重な機会となりました。