高まるサイバーレジリエンスの重要性と国内金融機関に求められる対応 第3回

本ブログシリーズの第1・2回では、高まるサイバー攻撃の脅威と金融機関・規制当局による対応、そしてセキュリティ強化の取り組みが日本の金融機関にもたらす課題について解説しました。最終回となる今回は、サイバーレジリエンスのさらなる向上に向け、戦略・組織レベルで打ち出すべき方策を提案します。

ベストプラクティスの実践に向けて

先進的サイバーセキュリティ対策に取り組んでいる金融機関には、戦略的アプローチという面でいくつかの共通点が見られます。まず1つ目は、サイバーセキュリティを最重要リスクの1つと捉え、役員レベルでこの問題に特化したリスク評価を実践するとともに、コンティンジェンシー・プランや技術面での対応をはじめとするセキュリティ体制を構築していることです。そして2つ目は、全組織がセキュリティ強化の取り組みへ継続的に関与し、定期的なセキュリティ監査を通じて準備体制を整えていることです。レスポンス・プランニングは、経営企画部から法務、広報まで組織のあらゆる部門が対象となっています。

また先進企業では、レスポンス・プランニング策定後も継続的に見直しを行う傾向が見られます。いわゆるPDCA(計画・実行・評価・改善)サイクルを通じて常に体制強化を図り、新たな脅威が生じればアプローチを変更。外的環境の変化に応じてリスク評価を見直すといった取り組みを実施しています。

前回のブログで触れたように、こうした企業の多くはIT部門から独立した立場でセキュリティ体制を統括するCISO(最高情報セキュリティ責任者)を置いています。一方、日本の金融機関の多くでは、CISOあるいは同等の役職をCIO(最高情報責任者)の管轄下に置く、あるいはCIOがCISOを兼任するといったケースが目立ちます。つまり、サイバーセキュリティはIT部門の担当分野の1つと考えられているのです。こうした体制の下でCISOが効果的に能力を発揮することは難しいでしょう。

独立したCISOの重要性

ではなぜ、このような組織構造で問題が生じるのでしょうか?本質的にCISOの最も重要な役割は、既存あるいは新たな商品・サービスにまつわるセキュリティ・リスクを専門的見地から分析し、その対策やレスポンスの手順・プロトコルを構築することにあります。効果的にこの役割を果たせていれば、実際に緊急対応が必要となることはほとんどありません。

一方で、CIOのパフォーマンスは、価値創造や効率性・生産性の向上という基準で判断されることが少なくありません。そのため、CIOはこうした部分で効果の見えやすい領域へリソースを重点的に振り分ける傾向が見られます。CISOがIT部門の管轄下にあると、十分な予算の確保や、全組織レベルでのセキュリティ・ガバナンス強化が難しくなるのはそのためです。

言うまでもないことですが、CIOとCISOの役割は相互補完的なものです。しかし両者のポテンシャルを最大限に発揮させるためには、機能・予算という面で独立性を確保することが重要となるのです。例えば私たちが最近サポートを提供した大手証券会社のCISOは、IT企業経営者を務めた経験を持ち、長い期間にわたってIT部門統括役員という役割を担ってきました。これはサイバーセキュリティ担当役員として理想的な資質と言えるかもしれません。こうした経歴があれば、経営という観点からサイバーセキュリティの問題を分析し、とるべきリスクと回避すべきリスク、導入すべき方策などを戦略的に判断できるからです。このCISOの経験と貢献がなければ、同社によるサイバーレジリエンス強化への取り組みが大きな成功を収めることは難しかったでしょう。

求められる責任拡大と意識向上

サイバーセキュリティは、CISOとそのチームだけではなく、全ての従業員が関わる問題です。アクセンチュアが最近発表した報告書『2018 State of Cyber Resilience for Financial Services』によると、サイバーセキュリティ・チームは全社で発生したセキュリティ侵害の3分の2を検知しています。しかし日本企業の場合、検知されなかった残り3分の1のうち75%は担当チーム以外の従業員によって発見されています。

先進的な取り組みを行う企業が、セキュリティ関連トレーニングへの参加を全ての従業員に求めているのはそのためです。トレーニングの対象は、社内システムの管理にとどまりません。CSIRTも参加する擬似攻撃への対応演習や、潜在的セキュリティ侵害の深刻度を判断し適切に対応するための役員向けトレーニング、アウトソース先の企業向けトレーニングなどもプログラムに組み込むべきでしょう。

サイバーレジリエンス強化に向けたロードマップ

これまで3回にわたり、サイバーレジリエンスについて取り上げてきましたが、日本の金融機関が今後取るべき方策は要約すると次の7点です:

  • 十分なサイバーセキュリティ対策予算を確保
  • 経営レベルで潜在的脅威についての理解を確立。深刻な事態が発生する前に、問題の把握と状況の理解、そして迅速な対応に向けたオプションを準備する。
  • 独立した立場を持つCISOとサイバーセキュリティ・チームを設立する。
  • CSIRTの導入など、セキュリティ管理体制の強化を図る。
  • サイバー攻撃に対し、複合的な対策を準備する。
  • 業界横断型・業界型サイバーセキュリティ組織の情報共有サービスを活用する。

全ての従業員を対象とした3つの防衛線(three lines of defense)を構築し、リスク管理能力の強化を図る。

サイバー攻撃のリスクが今後さらに高まることが予測される中、こうしたベストプラクティスを戦略的に実践することは日本の金融機関にとって極めて重要な意味を持つのです。

大茂 幸子

テクノロジー コンサルティング本部 マネジング・ディレクター セキュリティ グループ

View Profile

新井 英明

テクノロジー コンサルティング本部 マネジング・ディレクター アクセンチュア マイクロソフト ビジネス グループ共同日本統括

View Profile