{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
はじめに
昨今、AIをはじめとするテクノロジーの活用は、企業価値向上や企業の持続的な競争力強化のために欠かせないものとなっています。一方で、テクノロジーの活用の場面では、ランサムウェアによる情報漏洩や事業活動停止の実害が発生するなど、サイバーセキュリティリスクが顕在化する事例も増加しています。そのため、DXで求められるエンタープライズアーキテクチャのアップデートにおいては、サイバーセキュリティ対応も重要な経営アジェンダの1つとなっています。
本稿では、企業がDXを進めるための行動指針として経済産業省が定めた「デジタルガバナンス・コード」を前提に、企業価値向上に資するサイバーセキュリティ対応のあり方や、その態勢構築のアプローチについて考察します。
サイバーセキュリティ対応における課題
サプライチェーンへ波及するサイバー脅威
サイバー攻撃は多様化、高度化、巧妙化の一途をたどり、外部からの攻撃や自社の脆い内部統制に起因するセキュリティリスクのみならず、企業活動に欠かすことのできないサプライヤーや外部委託先ベンダーなどのサードパーティにおけるリスクも高まっています。サードパーティがサイバー攻撃を受けることで、サプライチェーン全体が機能不全を起こす事態も発生しています。一例として、米国のサイバーセキュリティ評価企業であるSecurityScorecard社が2023年に調査した「世界のサードパーティサイバーセキュリティ侵害に関するレポート」によると、日本におけるサイバー攻撃の48%がサードパーティ由来であり、他国に比べ高い水準にあることが示されています(図表1)。日本特有の水平分業型の商慣行からも、サプライチェーンにおけるセキュリティ対応が重要になるものと考えられます。
図表1:日本におけるサイバー攻撃の48%がサードパーティ由来
出典:SecurityScorecard「世界のサードパーティサイバーセキュリティ侵害に関するレポート」
また、同調査では、企業間(B2B)におけるサードパーティ侵害の原因のうち、ソフトウェアやその他のIT製品、サービスなどの技術的なB2B関係が75%を占めるという結果が示されています(図表2)。
セキュリティ管理態勢として盤石な対策をしていた場合においても、技術的な脆さを突かれた場合、態勢面でのリカバリーが難しくなります。DX推進におけるデジタルテクノロジー選定時のセキュリティ機能・運用対処の設計やサードパーティとのセキュリティ対策、有事における連携の在り方などについて対話を重ねた上で、サプライチェーン全体で必要となるサイバーセキュリティ対策をソフト・ハード両面で進めることが重要だと考えられます。
このような状況で、日本国内の企業では、外部連携までを含めたサイバー脅威に対応しうるエンタープライズアーキテクチャや業務プロセス変革が追い付かないケースも多く存在すると考えられます。広範に及ぶサイバーセキュリティリスクに対しては、経営による主導的なビジネス変革のためのDXやエンタープライズアーキテクチャの最適化に加え、サイバーセキュリティ対応に要する経営リソース配分などのガバナンス課題への対処も必要不可欠と考えられます。
図表2:サードパーティサイバーセキュリティ侵害の原因となったB2B関係
出典:SecurityScorecard「世界のサードパーティサイバーセキュリティ侵害に関するレポート」
ガバナンス強化および情報開示の要請の動向
サイバーセキュリティ領域では、機関投資家などのステークホルダーからの要請の強まりとともに、情報開示や統治・管理態勢といったガバナンス強化の動きが活発になってきています。
2023年7月、米国証券取引委員会(以下、SEC)は、サイバーセキュリティに関する開示の拡充と標準化を目的とした新たな開示規則を公表しました。SEC登録企業に対し、年次開示として企業のサイバーセキュリティに関するリスク管理、戦略およびガバナンスの適時開示において重要性のあるインシデントを新たな開示事項として要求しています*1。
また、米国国立標準技術研究所(以下、NIST)は、2024年2月に、企業のサイバーセキュリティ管理・推進態勢に関する主要なガイドラインであるサイバーセキュリティフレームワーク(以下、CSF)をバージョン2.0(以下、CSF 2.0)に改訂しました*2。この改訂では、新たなコア機能として「GV(統治)」が追加され、事業活動を持続可能なものとするために、経営がトップダウンでセキュリティ管理態勢を強化することの重要性がこれまで以上に強調されています。
デジタルガバナンス・コードを踏まえたサイバーセキュリティ対応での課題へのアプローチ
押さえるべきサイバーセキュリティの論点
サプライチェーンリスクへの対処や、サイバーセキュリティに係るガバナンス強化では、「デジタルガバナンス・コード」*3への準拠が打ち手の1つとして有効と考えられます。「デジタルガバナンス・コード」では、経営がビジネス変革・DX推進のために取るべき行動が言及されており、そのうえでセキュリティ管理態勢として、経営が取り組むべき事項が「望ましい方向性」として示されています(図表3)。
経営者は、サイバーセキュリティ対応を、旧来のサイバーセキュリティ固有の課題として捉えるのではなく、ビジネス変革を果たすための重要な課題として捉えることが求められています。
機関投資家などのステークホルダーに対しては、サイバーセキュリティ対策に関して有価証券報告書やサイバーセキュリティレポートなどで情報開示することが一般的ですが、この「デジタルガバナンス・コード」への準拠によって、サイバーセキュリティを含めたDX戦略の信頼性と実効性を確保するための統合的な開示が可能となります。
図表3:デジタルガバナンス・コードにおけるサイバーセキュリティの論点
| 論点 | 望ましい方向性(抜粋) |
| A サイバーセキュリティのガバナンス強化 |
|
| B セキュリティ管理態勢 |
|
| C サイバー脅威に対する教育・訓練 |
|
| D サプライチェーン全体のサイバーリスク把握・対策 |
|
| E ステークホルダー開示・対話 |
|
出典:経済産業省「デジタルガバナンス・コード」を基にPwC作成
デジタルガバナンス・コード準拠を起点としたサイバーセキュリティ対応による企業価値向上
サイバーセキュリティ対応は、セキュリティ固有の論点で捉えると、近視眼的で「守りの手段」となりがちです。経営が関与したトップダウンでの全社的(事業部門、IT部門などを含む)な管理態勢が必要であることは当然とする一方で、中長期的な取組みとしてセキュリティ対策に投下すべきリソースの根拠が置きづらい場面があります。
なぜ、そもそもサイバーセキュリティ対策をするのでしょうか。それは、企業価値向上やビジネス変革を目的に、持続可能な事業基盤づくりへの投資の1つがセキュリティ対策であって、「攻めの手段」であるという視点を置いてみることも一案です。
「デジタルガバナンス・コード」への準拠がサイバーセキュリティ態勢の再考やセキュリティ対策に必要な経営リソース配分の見直しの良い契機となりえます。
その最初の一歩は、経営におけるコーポレートガバナンスからデジタルガバナンス、セキュリティガバナンスに至るまでの管理態勢を有機的に連動させることです。各ガバナンスレイヤーの機能の連動を確保しつつ推進・管理することで、サイロ化された、経営、事業活動、リスクマネジメント、システム、セキュリティといった活動に一貫性を確保することができ、優先的に取り組むべきサイバーセキュリティ対策の領域の見定めにつながると期待されます(図表4)。
また、統合型ガバナンス・マネジメントにおいて、「セキュリティ・バイ・デザイン」*4という概念を取り入れることも実務上は留意したいところです。デジタルテクノロジーや、ソリューションを採択する際に、従来型の業務とシステムの適合性の確認に加えて、あらかじめテクノロジー利用に係る固有リスク・統制リスクを加味した製品ソリューション導入や開発プロセスを取り入れることで、セキュリティ対策が加味されたDX推進することが可能となります。
図表4:セキュリティガバナンスの連関図(概念)
図表3で述べた「デジタルガバナンス・コード」のサイバーセキュリティ対応では、望ましい方向性の例示があり、優先的に取り組むべきサイバーセキュリティ指針が示されています。この指針に関して具体的な実務に落とし込む際は、「NIST CSF」や経済産業省の「サイバーセキュリティ経営ガイドライン」といった公知のガイドラインを利用しながら、自社の実態に合わせたセキュリティガバナンスの構築を検討することが肝要です(図表5)。
図表5:参考となるガイドライン・フレームワーク
| 課題 | 参考となるガイドラインの一例 |
| A サイバーセキュリティのガバナンス強化 |
|
| B セキュリティ管理態勢 |
|
| C サイバー脅威に対する教育・訓練 |
|
| D サプライチェーン全体のサイバーリスク把握・対策 |
|
| E ステークホルダー開示・対話 |
|
出典:経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール」、NIST「CSF 2.0 Resource Center」を基にPwC作成
おわりに
企業価値向上に資するサイバーセキュリティ対応は、事業戦略やエンタープライズアーキテクチャ、システムの全社的統制などの上位概念と統合されたものである必要があります。そのための組織構造や文化の醸成に向けては、DX認定の取得やその要件であるデジタルガバナンス・コードへの準拠がきっかけとなり得ます。
PwC Japan有限責任監査法人では、デジタルガバナンスを起点に、テクノロジーを用いた実効性・持続性のあるビジネス変革の「仕掛けづくり」を進めることで、引き続き企業や社会をサポートします。
*1 PwC「SECの新たなサイバーセキュリティ開示規則」
https://www.pwc.com/jp/ja/knowledge/thoughtleadership/sec-final-cybersecurity-disclosure-rules.html
*2 NIST「The NIST Cybersecurity Framework(CSF)2.0」
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf
*3 経済産業省「デジタルガバナンス・コード」
https://www.meti.go.jp/policy/it_policy/investment/dgc/dgc.html
*4 内閣サイバーセキュリティセンター(NISC)「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」
https://www.nisc.go.jp/policy/group/general/sbd_sakutei.html
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
