――昨今では、AIやIoTなどのテクノロジーを駆使した、デジタルトランスフォーメーション(DX)に取り組む企業も増えています。その際、セキュリティをどのように捉えるべきでしょうか。
伊藤 DXに取り組む際、開発と運用のそれぞれのメンバーが連携してサービスやシステムを構築するDevOps(デブオプス)を採り入れるケースが増えています。そこにセキュリティの視点も採り入れ、プロジェクトを回していくべきだと思います。ただ、セキュリティを強化するとシステムの使い勝手は悪くなります。なのでSEは世界共通でセキュリティをシステムに入れていくのが大嫌いです。
竹内 そのため、経営視点から投資の考え方を変えていく必要があります。サイバーセキュリティリスクは日々変化をし続けています。そういった時代においては、システムの開発以上に運用が大切になる。今まではシステムを構築する時、5年、10年使うことが前提となっていました。しかし変化に柔軟に対応していくためには、最初からセキュリティ運用を前提としたシステムデザインを後押ししていくべきです。
伊藤 調査会社のガートナーでは、経営層の姿勢として「信頼とモニタリング」が大切であると説いています。成果を生み出すことを考えるだけでなく、一歩引いたところでモニタリングする。そうでなければ経営層は説明責任を果たすことができません。
竹内 モニタリングせず、何か問題が起こったときに「知りませんでした」「想定外でした」としか言えなければ、ステークホルダーも世間も納得しないでしょう。繰り返しになりますが、サイバーセキュリティに取り組む際、経営層がアカウンタビリティ(説明責任)をどう果たすかはまずます重要となり、決断を下す際の判断基準になると捉えています。
――最後に、おふたりは『決定版 サイバーリスクマネジメント 企業価値を高める最新知識と戦略』という書籍を執筆されています。この本はどのような内容なのでしょうか。
竹内 今までお話をしてきたこと実行する時に、「経営層がサイバーリスクマネジメントを考える際に、抑えておくべきポイントを網羅した内容」になっています。巻末には経営層が知っておきたいサイバーセキュリティの用語集もあります。それらを理解しておけば、社内外のセキュリティの専門家とサイバーリスクマネジメントついて会話ができるようになると思います。
伊藤 サイバーセキュリティの課題やトレンドは刻々と変化しています。そのため何度か繰り返して読んでいただきたいと考えています。対策の検討を進めていくうちに、最初はピンとこなかったことが実感できるようになったり、状況の変化によって気になるポイントが変わったりするはずです。今日の対談で思うところがあった経営層の方にはぜひ一度手に取っていただきたいですね。
※掲載されている内容は公開日時点のものです。
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります。
【読者プレゼント】
『決定版 サイバーリスクマネジメント 企業価値を高める最新知識と戦略』を5名様にプレゼントいたします。以下リンクより必要事項を記入のうえご応募ください。応募締め切りは12月27日(金)23時59分まで。当選は発送をもってかえさせていただきます。
応募はこちらのリンクから
目次
第1章 健全な経営を支えるサイバーリスクマネジメントの展開
第2章 ゼロトラスト時代の情報セキュリティガバナンス
第3章 サイバーリスクの根本原因となる脅威と脆弱性
第4章 多種多様な既知のサイバー攻撃とその技術的対応策
第5章 新たな取り組みと日々巧妙化する未知のサイバー攻撃への技術的対応策
第6章 グローバル環境におけるセキュリティガイドラインの変遷
第7章 サイバーリスクマネジメントに求められる説明責任