「深さ」と「幅」で高度化するサイバーセキュリティ戦略

 こうした新たな環境に対応するためには、新たなコンセプトに沿ったサイバーセキュリティ戦略の構築が求められる。「深さ」と「幅」の両面で「サイバーセキュリティ」の射程を広げ、立体的に全体を俯瞰する必要があるのだ(図表)。

 まず「深さ」だが、現場だけで完結する浅い対策だけで良しとしてきた現状を改め、経営課題として捉え直す必要がある。つまり、経営層が全社的なサイバー戦略を立案する「ガバナンスレベル」、これに基づいてマネジメント層がセキュリティポリシーなどのルールとシステムを整備する「マネジメントレベル」、そして、現場が運用業務の立ち上げや維持・管理を担う「オペレーションレベル」の3層に広げ、各層を有機的につなげるのである。

 ここで大事なのは、サイバーセキュリティ戦略を経営課題と位置付け、トップダウンのアプローチでコーポレートガバナンスと個々の施策の整合性を確保することだ。日本企業ではこれまで、現場ごとにセキュリティプロジェクトを立ち上げて独自に運用することが多かったが、その方式では施策が重複して無駄な投資が発生しやすいだけでなく、各施策に経営目線の横串が刺さらないため、強みとして活用しにくい事情があったのだ。

 もう一つの重要なアプローチが、サイバーセキュリティ施策の「幅」を拡大することだ。これまでのセキュリティ対策では、システムへの侵入の予防(リスクの特定→特定したリスクへの防御)に重点が置かれていたが、それだけでは実際にインシデントが発生したときに迅速に手を打つことができずに傷口が広がってしまう。サイバー攻撃の手口の多様化・高度化を踏まえれば、どれだけ防御しても破られる可能性はある。それをあらかじめ想定した上で、速やかな事後対応(検知→対応→復旧)を含めたフレームワーク(デロイト トーマツでは、このようなフレームワークを「サイバーセキュリティフレームワーク(CSF)」と呼ぶ)を用意して備えておくことが不可欠なのだ。