クラウドの利用はコスト削減にもなる

――グローバル企業は、国や地域ごとの法律や標準規格に適応する必要もあります。

大野 裕美(おおの ひろみ)
アクセンチュア ビジネスコンサルティング本部 ストラテジーグループ シニアプリンシパル

1997年に外資系サイバーセキュリティサービスベンダーに入社。黎明期よりサイバーセキュリティ業務に従事し、その後アクセンチュアに参画。大手金融業、通信業、製造業等、国内の多くの企業を支援。経営者・管理者向けセキュリティセミナー・トレーニングには定評がある。

大野 これも企画段階で対処することが大切です。アクセンチュアには、新しいシステムを開発・導入する際、それが使われる国の法令やその企業のルールを逸脱していないかどうかを、事前にチェックする組織があります。システムを開発する際には、利便性や開発者自身の判断による安全性確保が優先される傾向にあるため、注意が必要です。

河野 例えば、米国国立標準技術研究所(NIST)のセキュリティフレームワークなどがグローバル企業の取引要件になったときに、一企業が案件ごとに申請するには負担が大きすぎます。しかし、共通の基盤となるクラウドを使うことで、全てをそれぞれの企業が行わなくても良いことになります。クラウドプロバイダーは年次で厳しい監査を受け、ISOやNIST、業界団体の規定、それぞれの国や地域に合わせた認証を受けているため、そのクラウドサービスを正しく利用しているエンドユーザ企業もその恩恵を受けることができると考えています。

 こういったコストを削減し、人材不足に対応するためにも、マイクロソフトではなるべくカスタマイズの部分を少なくし、クラウドサービスを利用することをお勧めしています。日本では、独自開発や細かくカスタマイズしたアプリケーションを使っている企業が多いようです。その場合、システムが複雑になり、都度システムの更新やトラブル発生の際のテスト時間が長くなり、結果コスト負担も大きくなりがちです。サイバーレジリエンスを考えた場合、シンプルなシステムを構築し、簡単で迅速なテスト、再起動時間の短縮などを優先したシステム構築をする必要があると考えています。

DXがガバナンス、セキュリティの強化につながる

――エコシステムへの対応も含め、今後のセキュリティの課題とその対処のポイントについて教えてください。

河野 マイクロソフトにとってお客様の成長の基盤となると考えているのは、デジタル技術とデータを活用する「デジタルトランスフォーメーション(DX)」に他なりません。様々な資産がデジタル化されたほうが計算しやすいし、管理・把握もしやすい。経営者にとってはガバナンスの強化となり、セキュリティ面では、安全な状態の確認・維持もしやすくなります。DXはセキュリティと相反するという人もいますが、セキュリティを強化するためにもDXが非常に重要なのです。

大野 そのためにも、セキュリティスコープの見直しが必須です。ISMS(情報セキュリティマネジメントシステム)の基本的な考え方では、スコープを定め、その境界および範囲内のリスクアセスメントを行うこととされてきました。しかし、クラウドの利用やビジネスエコシステムを運用するにあたっては、これまでのセキュリティスコープの見直しが欠かせません。具体的には、自社以外のパートナー企業・エコシステム全体を含めたセキュリティ強化・ガバナンス・見える化の仕組みを再整理する必要があります。

 アクセンチュアが最近実施した調査によると、「自社のエコシステム・パートナーは、セキュリティに関するコンプライアンスや復旧への対応に懸命に取り組んでいる」と答えた経営層は、全体の約29%にとどまっています。エコシステムを活用したビジネスは、今後の成長の大きな糧になることが期待される一方、リスクを共有することにもなります。そのため、新システムの導入やM&Aに際しては、他社のセキュリティ戦略についても事前確認が必要です。また、合議の上、監査を強化することをお勧めします。