【エネルギー業界におけるグループセキュリティガバナンスの最前線】―実効的なグループガバナンス構築の要諦―

グループセキュリティガバナンスの重要性

昨今、企業はセキュリティ対策に取り組み、高度化するサイバー脅威への対応を進めてきました。このような背景もあり、攻撃者は標的を大企業のグループ会社や、サプライチェーンを支える取引先にシフトさせています。グループ会社が震源地となるセキュリティインシデントは頻発しており、エネルギー企業にとっても対岸の火事ではありません。

一般的にグループ会社は、本社と比較してヒト・モノ・カネといったリソースが潤沢でないという課題を抱え、セキュリティ対策ならびにそのための体制が手薄になる傾向が見受けられます。その一方で、グループ会社で情報漏洩が起きたり顧客向けサービスが停止に至ったりした場合には、当該グループ会社だけでなく、本社におけるガバナンスの問題点が指摘されてしまいます。

このことからも、グループとしてセキュリティガバナンスの実効性を確保することは、重要な経営課題として認識されています。

責任論主体のガバナンスから実効的なガバナンスへ

前述のような状況から、「セキュリティポリシーを用意し、あとはグループ会社に対応させる」といった従来の責任論主体のガバナンスは限界を迎えています。本社から実務的な連携および支援を行なうことで、より実効的なガバナンスを構築し、グループ全体を確実に守ることが求められます。その実現には、以下のポイントが重要となります。

• 人／組織
  • 本社とグループ各社の経営層が、グループとしてセキュリティガバナンスを推進すること、またこれに伴うリソース配分を行なうことについて、コミットメントすること
  • グループ各社における取り組みにおいて、対話に基づいたコミュニケーションを重視し、アンケートのみでは得られない現場の“本音”を引き出すこと
• 仕組み
  • 画一的とせず、リスクに応じたガバナンス強度を設計すること
  • グループ会社における自律的統制の実現に向け、役割分担の明確化、グループとしてPDCAを運用するプロセスの構築、組織マインドの醸成に取り組むこと
  • 新たな取り組みや対策をグループに展開する際は、各社の今後の計画や予算などの策定プロセスと整合性をとること
• 技術
  • グループ共通で利用する標準サービスについては、本社がコスト負担や運用に責任を持ち、一元的なサービス提供を行うこと
  • セキュリティポリシー準拠の実態把握は、人手での監査活動に頼らず、アタックサーフェス（サイバー攻撃の対象となる領域）マネジメントツールなどを活用することで、PDCAサイクルを高頻度に回すこと

このように、従来の責任論主体のガバナンスから脱却し、実効的なガバナンスの構築に力点をシフトしていく必要があります（下図参照）。

PwC Japanグループはエネルギー分野におけるサイバーセキュリティ・ガバナンス・マネジメントを実現すべく、サイバーセキュリティやリスク管理を専門とするコンサルタントとエネルギー業界専門のコンサルタントが連携し、またPwCグローバルネットワークのエネルギー業界におけるサイバーセキュリティ専門チームとも協力して、海外の知見や調査結果を活用しながらサービスを提供していきます。

＜主な支援実績＞

• 制御システムにおけるセキュリティポリシーやセキュリティ整備計画の策定
• グループセキュリティガバナンスの構築、セキュリティ人材育成のプロセス定義
• クラウド・IoTセキュリティアーキテクチャの設計
• 電力・ガス制御システムに対するサイバー攻撃を想定した訓練や演習の企画・設計
• サイバー攻撃を想定したペネトレーションテストの実施

さらにご興味のある方は、下記のサイトをぜひご覧ください。

【サイバーセキュリティコンサルティング】
https://www.pwc.com/jp/ja/services/digital-trust/cyber-security-consulting.html

【電力制御システムにおけるサイバーセキュリティリスクへの対応支援】
https://www.pwc.com/jp/ja/services/digital-trust/cyber-security-consulting/electricity-system.html