MS&ADグループ一本木CDO・CIO・CISOに聞く「DX推進に必要なセキュリティ対策」

CISOは「ブレーキ」ではなく「ガードレール」

宇塚：
一本木さんはMS&ADグループのCIOとCDO、そしてCISOを兼務されていらっしゃいます。一般的にCIOやCDOはデジタルイノベーションを推進する「アクセルを踏む立場」であると言われています。翻ってCISOはあらゆるリスクを想定し、ときに前のめりになりがちなイノベーション担当者に対して「ブレーキを踏む立場」を担っています。これらの役職を兼任されるうえで、そのバランスをどのように捉えていらっしゃいますか。

一本木：
CIOとCDO、そしてCISOに任命されたとき、3つの任務を自分の中でどのように整理すべきか考えました。ご指摘のとおり、CIO／CDOとCISOは、「アクセルとブレーキ」の関係だと言われていますが、この考え方では自分の中で整理がつきませんでした。熟考の末、出した答えは「CISOとはブレーキではなくガードレールである」という捉え方でした。

もちろんCISOがブレーキ的な役割を果たすことは否定しません。ただし、私はCISOとしてやるべきことは、「目的地に行くことを止める」のではなく、「目的地まで安全に到達するために、その道程をガードレールで守る」ことだと考えています。

宇塚：
「危ないから行かせない」ではなく「危ない道でも事故を起こさないように守る」ことがCISOの役割とのお考えですね。とても重要な視点だと思います。CISOとしての守りの役割について、さらにお話をお伺いできればと思います。

サイバー攻撃について、現状の課題認識とその対策を教えていただけますか。

一本木：
外部からのサイバー脅威については「100％の防御は不可能」という前提のもと、日々刻々と変化する状況にアンテナを張りつつ、技術的対策と人的・組織的対策の両面から取り組んでいます。リスクを正しく把握し、的確な戦略を立案するためには、グループ全社でこの認識を共有することが非常に重要だと考えます。

具体的な取り組みを紹介しましょう。潜在的な脅威の把握は、私たちのようなユーザー企業が自力で調査するには限界があります。ですので、複数の外部セキュリティ専門会社が提供している脅威インテリジェンスサービスを活用し、“複数の目”でサーフェスウェブやダークウェブ上での脅威情報に目を光らせています。

また、セキュリティ専門会社の協力のもと、脅威ベースの侵入テスト（Threat Led Penetration Test：TLPT）やセキュリティアセスメントも実施しています。プロアクティブに脅威を把握し、同時に攻撃に備える取り組みは、大変有意義だと考えています。

綾部：
現在は「サイバー攻撃者のほうが圧倒的に有利」だと言われています。そのような状況の中で積極的にセキュリティインテリジェンスを収集し、先手で対策を講じる姿勢はとてもすばらしいです。

一本木：
ありがとうございます。CISOとしてサイバー脅威と対峙して痛感しているのは、あらゆる攻撃を想定し、能動的に対策を講じる重要性です。例えば、これまでのサイバー攻撃対策は、内部システムと外部ネットワーク（インターネット）の出入り口の境界線を守るという、いわゆる「境界防御」が中心であり、私たちも対策を強化してきました。この領域では、一定の水準まで達成できていると考えています。

一方、「100％の防御は不可能」という前提のもと、万が一、攻撃者が侵入した場合には、侵入状況を迅速に検知し、その被害を最小限に封じ込むという観点から、各種検知・防御の仕組みを強化しています。あわせて、内部システムのセキュリティ強化を進めることで、内部侵入後のマルウェア拡散を極小化する対策も進めています。

綾部：
これまでは「社内ネットワークは安全で、社外ネットワークは危険」という考えのもと、ファイアウォールなどで外部ネットワークから社内ネットワークを守る「境界防御」対策が一般的でした。しかし、クラウドコンピューティングの利用増加やSaaS（Software as a Service）の浸透に伴い、「境界防御には限界がある」と指摘されています。MS&ADグループはそれを見越して「境界防御」から「迅速な検知と素早い封じ込め」に対策の軸足を移しているのですね。

データサプライチェーン対策は「リスクの量」を考慮する

綾部：
次にデータサプライチェーンのサイバーリスク対策についてお聞かせください。MS&ADグループは5つの国内保険会社と9つの関連事業会社をお持ちです。また、海外にも複数の拠点を擁しています。そうした環境では、どのようなデータサプライチェーン対策を講じているのでしょうか。

一本木：
サプライチェーンリスク対策は、私たちが特に力を入れている領域です。メーカーと異なり保険業界には「仕入れ先」という概念がありません。しかし、多くの業務委託先や代理店が存在しています。私たちにとってはこうした企業がサプライチェーンです。また、関連会社や海外拠点もサプライチェーンの1つとして考えています。

これらサプライチェーンに対し、私たちが直接セキュリティ対策を実装することは難しい。ですから、基本的には「いかにセキュリティガバナンスを効かせるか」という観点で対策を講じています。

私たちは数年かけて委託先、代理店、関連会社、海外拠点に対するセキュリティガバナンスの枠組みを整備・強化してきました。サプライチェーンの構成要素である委託先、代理店、関連会社、海外拠点におけるサイバーリスクはそれぞれ異なることから、リスクベースアプローチによるマネジメントの確立を進めています。現在は関連会社や海外拠点に対し、固有リスクの評価を行い、当該固有リスクに対する対策の実施状況から把握された残余リスクをいかにマネジメントするかという考え方をもとにサイバーリスクをマネジメントしています。

綾部：
つまり、「これは最低限なので整備をしてください」と一律依頼する部分と、委託先、代理店、関連会社、海外拠点の規模や取引状況などを考慮して「ここまで整備してください」と依頼する部分に分けてアプローチを執られているのですね。

一本木：
はい。今まではガイドラインなどを策定し、さまざまな形でセキュリティ対策をお願いしてきました。しかし、その中には非常に高度な対策も網羅されていました。こうした対策を全てのサプライヤーや拠点に対して、一律に求めるのは現実的ではないと考えます。当然ながら業種や業態、そして組織の規模によってリスクの“量”は異なります。ですから、その“量”に応じて対策を講じるという「リスクベースの対策」に舵を切ろうと考えています。