ビジネスリーダーにとってのサイバーセキュリティとサイバーレジリエンスの重要性： アクセンチュアのレポートからの洞察

サイバーレジリエンス向上とビジネス変革におけるCISOの重要な役割

「State of Cybersecurity Resilience 2023」レポートでは、サイバーセキュリティは「インシデント発生ベースの対応ではなく、企業変革そのものの一部として組み込むことで、企業はサイバーセキュリティのレジリエンスを強化し、安全な方法で企業全体を再変革し、新たな領域でパフォーマンスを発揮することができます。」と述べています。また、サイバーセキュリティを重視する「サイバー・トランスフォーマー」企業がそうではない企業と比べて、5.8倍デジタルトランスフォーメーションを実現する可能性が高くなる、という調査結果も出ています。

「サイバーレジリエントCEO」レポートでは、96%のCEOはサイバーセキュリティの重要性を理解しているものの、74%のCEOが自社のセキュリティに自信がないと回答していることが明らかになっています。日頃、サイバーセキュリティのご支援を通じてお客様の経営層、そしてセキュリティ部門の方々と会話する機会も多いですが、本レポートは、そうした機会とは異なる視点からの調査、考察であり非常に興味深いです。

しかし、経営レベルでサイバーセキュリティを考える際に重要なキーマンとなるCISO（またはCSO、それに準じる経営レベルの役職者）の設置率は、日本においては諸外国と比べて低いとされています。もしCISOがいたとしても、CIOや他の業務との兼務の方が多いのが現状です。また、特にサイバーセキュリティの知識や経験が十分なCISOという条件を付加するとさらに少ないでしょう。

私自身、15年以上サイバーセキュリティのキャリアを歩んできていますが、十分なスキル・経験を持つ知人や取引先の担当者がCISOになったという話はあまり聞きません。そもそも事業会社において素養を持った人材にサイバーセキュリティに特化した教育や経験をつませ、CISOを育成していくことは非常に難しいのです。

「サイバーレジリエントCEO」レポートでは、CEO自らがサイバー攻撃のリスクを最小限に抑え、サイバーレジリエンスをビジネストランスフォーメーションの中心に据えることの重要性を示していますが、そのためにはCEOがCISOとより強固な関係を築くことが重要であると述べています。また、「State of Cybersecurity Resilience 2023」レポートにおいても、CISOは従来の役割を超えてビジネスリーダーと連携し、ビジネス主導型で活躍することが重要であると述べられています。

これらのレポートで述べられているように、CISOはセキュリティの専門知識を持つことはもちろんのこと、CEOやビジネスリーダーと迅速で透明性の高いコミュニケーションをとることができる人物が求められています。日本企業は、このような背景を理解し、新たな時代のCISOの設置をすぐにでも検討する必要があるでしょう。

進化するサイバーセキュリティ： 課題と包括的なゼロトラスト・アプローチの必要性

次にサイバーセキュリティ対策についても考えてみましょう。2024年現在、ランサムウェアによる被害が多発しています。アクセンチュアには、インシデントレスポンスチームというお客様のサイバー攻撃被害の調査や対応、復旧を支援するチームが存在しますが、ここ数年、フル稼働の状態が続いています。

ただ、お客様支援に入るとわかるのですが、セキュリティ対策を全くやっていない企業はなく、むしろ、求められているレベルのセキュリティ対策を実施している企業が多いです。ではなぜ攻撃を受けてしまうのでしょうか。「State of Cybersecurity Resilience 2023」では「クラウド・コンティニュム（クラウドの継続活用）とレガシー環境におけるアクセス、デバイス、ソフトウェア、接続性が向上したことで、脅威の対象となる領域がこれまでになく拡大しています」と述べています。つまり、これまでの境界防御を中心とした守り方では、境界そのものの定義がむずかしくなっており、またその範囲も広がっているがゆえに守り切れなくなっているのです。

加えて、コロナ禍においてリモートワークが全社的に推進したこともあり、ゼロトラスト・アプローチによるセキュリティ対策の強化が必要になっています。しかし、単に今のセキュリティ対策モデルにゼロトラスト関連のサービス、ソリューションを導入しただけでは、効果は得られないこともわかってきています。

“ゼロトラスト”として、すべてを信頼することなく、仮にチェックする仕組みを作り上げたとしても標準化されていないシステム環境、統一・管理されていないユーザ・アイデンティティ、多種多様なデバイス属性、制限のないアプリケーション利用、複雑なネットワーク、大量の例外設定などが残存する状況では、いくらすべてを検証することができるモデルだとしても、必ずやどこかでほころびが発生し、完全に攻撃を防ぐことはできなでしょう。

今後も進むデジタルを活用した企業、及びそのビジネスにおけるダイナミックな変革を考えると、リスクを軽減するためにゼロトラスト・アプローチによるITインフラ、セキュリティの標準化を包括的に行うことが重要であると考えます。

先進テクノロジーを活用したアクセンチュアのサイバーセキュリティ対策

また、アクセンチュアのサイバーセキュリティ対策は、アプリケーション領域の課題に対処するためにさまざまな取り組みを行っています。例えば、AIとオートメーション技術によるIntelligent Application Security Platformを活用することで実施可能な大規模なアプリケーションのセキュリティテストは、脆弱性やコードの問題を効果的に検出するための重要な手段です。生成AI（ジェネレーティブAI）の進化は、サイバーセキュリティの発展を促進し、エンタープライズのガバナンスと情報セキュリティを強化することに貢献しています。これらの取り組みは、企業がより強固なサイバーセキュリティインフラを構築し、ビジネスのリスクを軽減するための重要な手段となるでしょう。

「サイバーレジリエントCEO」レポートにもあるように、経営者はこうしたサイバーセキュリティの実践と行動を推進することによって、企業は組織のデジタル・アーキテクチャを包括的に変革するきっかけをも得ることができると考えています。実際に、先進的な「サイバー・トランスフォーマー」企業はサイバー攻撃やインシデント対応コストを平均で26%削減していることが明らかになっています。企業の経営層はこの意義を理解したうえで、ボトムアップでは難しい包括的な標準化をともなうゼロトラスト・アプローチの推進をトップダウンで強力に推し進めるべきです。

本ブログでは、2023年に相次いでリリースされた2つのレポートをもとに実際のコンサルティング、セキュリティ支援の現場から感じたことを踏まえて考察を行いました。経営者はひとつのサイバー攻撃による被害が、企業のビジネスに大きな影響を与える時代になっていることを十分に認識したうえで、自社のサイバーレジリエンス向上にこれまで以上に一歩踏み込んだ関与が求められる時代が到来したことも認識しておく必要があります。アクセンチュアも、企業そして経営者の真のセキュリティパートナーとなるべく研鑽を重ね、最大限の支援を継続していきたいと考えています。