全3回でお送りする本ブログシリーズでは、日本の金融機関が急速に変化を遂げるセキュリティ環境に対応し、体制を強化するために求められるアプローチとアクションについてお話します。まず第1回では進化を遂げるサイバー脅威とセキュリティ体制のあり方について解説しました。そして第2回では、リスクの定量化・可視化の重要性と、その実現に向けた取り組みについて検証しました。今回はセキュリティ領域におけるCレベル役員の関与拡大に向けてとるべき方策についてお話します。

シニア・マネジメントの役割拡大に向けたステップ

前回お話したとおり、経営役員によるセキュリティ分野への積極的な関与は、現代ビジネスの世界でサイバー脅威への効果的対応とレジリエンス強化のために欠かせません。ではシニア・マネジメントの役割拡大を実現し、経営戦略の一環としてセキュリティに取り組むためには、どのようなアプローチとアクションが求められるのでしょうか?ここで重要なポイントの1つとなるのは、コミュニケーションの改善です。前回触れたとおり、国内金融機関のIT部門は直面する課題や解決に求められるソリューションを、専門家以外には理解が難しい言葉で伝える傾向が見られ、役員レベルの認識不足や積極的関与が進まない現状の一因となっています。

こうした問題を解消するためのステップの1つとなるのは、第2回で紹介したようなアプローチで定量化・可視化したサイバーセキュリティ・リスク要因を実施可能なアクションとして知見化するためのダッシュボードを開発・導入することです(詳細については囲み記事を参照)。このダッシュボードは、Cレベル役員とITセキュリティ専門チームに生じるコミュニケーションギャップを解消し、サイバーセキュリティの領域で自社が直面する課題を明確化するために大きな役割を果たします。CROやCISOだけでなく、経営レベルの積極的関与を促し、包括的かつ効果的なサイバーセキュリティ戦略の策定につながるでしょう。

Cレベル役員に求められる役割

改革に向けたアクションが求められるのはIT部門だけではありません。シニア・マネジメントも担当チームの声に耳を傾け、セキュリティが経営戦略全体の中でどのような位置づけにあり、様々なリスク要因がどの程度重要なのか、そして課題への対応に向けて経営レベルで何をすべきなのか、真剣に考える必要があります。またCレベル役員をはじめとするシニア・マネジメントの主要メンバーは、新たな時代のセキュリティ対応に経営レベルの関与が必須であることを認識し、それぞれの職務に応じた積極的な役割を果たす必要があるでしょう。ここではその一例として4つの役職が担う役割を紹介します。

CEO

セキュリティの問題に、経営課題・ビジネス戦略の一環として取り組むためにはCEOの積極的な関与が不可欠です。KPIの開発・導入、あるいはセキュリティ体制のレジリエンス評価といった側面では、特にCEOの存在が大きな鍵となります。例えばサイバー攻撃の被害を被った場合、問題がビジネス上の意思決定のロジックにあるのか、システム構造にあるのか、あるいはテクノロジーの進化に伴い高度化するサイバーリスクへの対応能力が十分でないのかを適切なKPIを活用しながら判断できるのはCEOだけです。こうしたセキュリティ戦略上の要因を、包括的かつ正確に評価・判断できなければ、効果的なビジネス戦略を実現することは困難でしょう。

CISO

アクセンチュアが以前公開したブログで解説したように、現代のビジネスではセキュリティとリスクにまつわる戦略的意思決定を行うCISOのような役員の存在が欠かせません。多くの金融機関にはCISOあるいはそれに相当する役割を担うポストが設けられていますが、本来意図したような形で機能していないケースが多く見られます。この問題を解消し、CISOをセキュリティ体制の中で有効に機能させるためには、上で紹介したダッシュボードの導入などを通じてサイバーリスクのKPIを明確化するなど、正しいリスクの理解を促すサポートメカニズムの活用を進める必要があります。これにより、セキュリティ上の問題にまつわるコミュニケーションが円滑化され、専門知識を持たないシニア・マネジメントを含む全組織レベルの意思決定をより効果的に行うことができるのです。

CTO

テクノロジー分野の最高責任者であるCTO がセキュリティ戦略に重要な役割を担うことはいうまでもありません。ただしその責任範囲はITシステムのアーキテクチャやセキュリティ体制の構築だけでなく、先進テクノロジーの導入・活用という領域にも及ぶことは留意すべきです。例えば保険会社がテレマティクスやウェアラブル端末を活用した商品・サービスを開発する場合、CTOは業績と収益向上に向けた取り組みの推進役としてだけでなく、サイバー攻撃や情報漏えいを未然に防ぐブレーキ役としての役割も求められます。独立した立場からセキュリティ分野を担当するCISOが、後者の領域でより重要な役割を果たす必要があることは事実です。しかし、セキュリティ体制のレジリエンス向上にはテクノロジー活用が必須である以上、CTOの積極的な関与は欠かせません。

COO

COOに求められるのは、オペレーション領域へのテクノロジー活用に際するセキュリティ体制の強化と改革です。近年ビジネスの世界では、オートメーションやAIの活用が加速しています。こうした先進テクノロジーの導入が進み、ビジネスプロセスの精度が向上すれば、ソーシャルエンジニアリング対策の強化に大きく貢献するでしょう。しかし業務の自動化に伴って、新たなサイバー脅威やセキュリティ上の問題が出現することは避けられません。例えばRPAを経由して有害なプログラムがインストールされれば、システム全体がハイジャックされ、(ユーザーのミスや不正行為がなくても)ITシステムそのものが機能不全に陥る恐れがあります。COOは、オペレーションにまつわるこうしたセキュリティ上の課題の監視・対応に主導的な役割を果たす必要があるでしょう。

改革の要諦

本ブログでは、日本の金融機関が防御を重視し“城壁”を築くというアプローチから脱却し、新たなビジネス環境に対応する早期検知とレジリエンスを軸に据えた次世代のセキュリティ体制を実現する必要性についてお話してきました。ここまで紹介してきたように、セキュリティ体制の変革には様々な要因が影響を及ぼすため、活用すべきアプローチや重視すべき側面は各金融機関の戦略・組織体制によって異なる面もあります。しかし、あらゆる金融機関に共通して求められるポイントが2つ存在します。

その1つ目は改善・適応に向けた継続的な取り組みです。一度セキュリティ体制を築いても、それが永遠に盤石な効果を上げるわけではありません。サイバー脅威のかたちが絶え間なく変化することを現実として受け入れ、監視を続けるとともに、新たな環境へ適応する準備を怠らないことが極めて重要となります。欧米金融機関がセキュリティ・センターを構え、サイバー環境の変化に対する監視・適応を常時行っているのはそのためです。

2つ目はサイバーセキュリティへの投資を拡大することです。第1回のブログで触れたように、欧米の金融機関はシステムのセキュリティとレジリエンスを監視するコントロールセンターなど、数億ドル規模の予算を投じてサイバー攻撃に備える体制を構築しています。現代の金融機関に不可欠となっているデジタルサービスがもたらすセキュリティ脅威に対応し、安全に業務を遂行するためには、24時間体制のリアルタイム監視体制と早期警戒・抑止の仕組み強化が極めて重要となります。そのためには、今後欧米金融機関と同様のレベルまでセキュリティ投資を拡大することが必須となるのです。

ボーダレスかつデジタル中心の金融ビジネスへのシフトが加速する中、これまでの常識の枠組みを超えたセキュリティリスクとサイバー脅威の拡大は不可避の流れです。そして国内需要の縮小と顧客ニーズの多様化に直面し、より積極的な市場アプローチが喫緊の課題となっている国内金融機関は、こうしたトレンドの影響を欧米金融機関以上に受けることになるでしょう。新たなセキュリティ体制の構築は、もはや避けることのできない経営課題となっているのです。
[CTX1]上では「サイバーセキュリティ・リスク」と表記しており、表現を統一頂ければと思います。

補足記事 ― アクセンチュア・サイバーリスクダッシュボード

本文でも触れたように、新たな時代のセキュリティ体制実現に向けた重要な鍵の1つは、ITチームと経営役員のコミュニケーションギャップを解消することです。アクセンチュアでは、そのためにAccenture Cyber-Risk MI frameworkと呼ばれるフレームワークを提供しています。その主な特徴は次のとおりです。

  • 人・テクノロジー・プロセスというあらゆる領域でサイバーリスク体制の補強ポイントを特定
  • CROやCISOをはじめとするCレベル役員に、サイバーリスクに関する経営目線でわかりやすい情報・分析を提供
  • セキュリティにまつわる技術的な情報を、有意義かつ実践可能な知見へと転換
  • セキュリティ体制の要補強ポイントを実証的なエビデンスとして生成し、重点投資領域を示唆

600を超えるKPI・KRIで構成されるこのフレームワークを活用することで、経営チームは自社のサイバーセキュリティ・リスク[CTX1] を継続的に監視し、次の3つの切り口から脅威の深刻化に先んじて対策を打ち出すことが可能になります。

能力:適切なセキュリティスキルを備えた人材が適所に配置されているか。全組織で高いレベルのセキュリティ意識が浸透しているか。

カバレッジ:可能な限り高い費用対効果を実現できるセキュリティ投資が行われているか

パフォーマンス:高いセキュリティ・パフォーマンスを実現する上で求められる役割を、全てのコンポーネントが果たしているか

資料:Accenture

パフォーマンスメトリックダッシュボードは、サイバーセキュリティとリスクの様々な領域に関して、エンドツーエンドの視点を提供します。