サイバーセキュリティの
「黎明期」にある日本企業

――具体的に、セキュリティ投資額の目安はありますか。

太田 米国では「IT投資額は売上高の1%、セキュリティ投資額はそのうちの3割が望ましい」と言われています。実際は米国でもそこまでいっていなくて、売上高の1%のうちの1割くらいではないでしょうか。日本企業の場合は、この1割にも満たないことが多いですね。ただ、この数字は自社のセキュリティ投資の多寡を知る材料の一つにはなりますが、それほど重要な意味はありません。

 脅威のトレンド、シナリオは日々変わっているので、現在の脅威とリスクに対して今何をすべきかを、毎年ゼロベースで検討して投資額を決めるのが基本だからです。ですから、セキュリティ企画機能がない限り、適切な投資額はわかりません。この点が本質的な課題であるとご理解頂きたいです。

 ITの黎明期を思い出してほしいと思います。当時は「IT企画機能」と言っても多くの人が「何それ?」という感じでした。IT企画機能を担える人材が少なく、ソリューションベンダーの言いなりにIT機器を導入し、それが企業の価値向上につながっているかどうかは誰にもよくわからない状況だったと思います。しかし、今はIT-ROI(IT投資効率化)の考え方や中期的ロードマッピング、長期的視点のIT戦略があるなど、ほとんどの企業が「IT企画機能」を持っています。


 こうした流れを見ても、デジタル化の黎明期にある日本の企業は、今こそ「セキュリティ企画機能」を備えるべきなのです。

セキュリティのグランドデザインを
描ける人材の育成が急務

――「セキュリティ企画機能」はどこの部署が担うべきでしょう?

太田 経営企画には、そういう専門性はありません。では、テクノロジーに詳しいCIO(最高情報責任者)かというと、自らの失点になる改善はモチベーションが働きにくい。したがって、CISOの部署を新設し、権限・立場を適切に設定する必要があります。単なるルールの番人ではなく、予算配分を上程する機能を持たせることも大切です。

市川 併せて、サイバーセキュリティのグランドデザイン(全体構想)を描ける人材の育成も急がれます。アクセンチュアではその人材を「セキュリティ・エンタープライズ・アーキテクト」と呼んでいますが、彼らが中心となり、セキュリティ投資を適正に管理すれば、ホラーストーリーに惑わされるようなことはなくなるでしょう。

 セキュリティの世界では、特定分野について深い造詣を持った専門家は数多く存在します。しかしながら、私が警鐘を鳴らしたいのは、日本企業にアーキテクチャによるグランドデザインが欠如していることと、それを具現化できる人材とスキルが不足していることです。

――アクセンチュアが「セキュリティコンサルティング本部」を2017年に新設した背景には、そうした理由があるわけですか。

市川 はい、セキュリティコンサルティング本部にはいくつかの強みがあります。まず、ここに同席している太田の戦略グループと連携しながらコンサルティングと実装を推進していること。これは他のセキュリティプレイヤーには見られない特徴です。また、テクノロジーフリー、つまり特定のベンダーの製品に偏ることがなく、常にベストな技術の選択が可能なことも挙げられます。

 次に、インシデントの検知から復旧まで我々のチームで行うことができます。アクセンチュアの様々な事業部と連携することによって最適なソリューションを提供することが可能です。さらに、守るべき資産をきちんと棚卸しできること。そして、内部不正にかかわる課題(ガバナンス、人事評価など)にも対処できることです。

太田 アクセンチュアでは、こうした強みを生かしたアプローチによって、デジタル時代に企業価値の向上に貢献するサイバーセキュリティの構築を支援しています。

(取材・文/河合起季 撮影/西出裕一)