「セキュリティ・ファースト」でDXを推進せよ
日本ではこの数カ月、他国の関与が疑われる大規模なサイバー攻撃が立て続けに起きている。前述のリポートでは、CEOの3人に1人が「サイバー諜報活動と機密情報の漏洩/知的財産の盗難」を最大の懸念事項に挙げている。日本企業も決して例外ではない。advertisement
果たして、企業の経営幹部は何から取り組めばいいのか。実践的なアドバイスを求めてチェック・ポイント・ソフトウェア・テクノロジーズのCTO(最高技術責任者)、ドリット・ドール博士に話を聞いた。ドール博士はサイバー分野で世界をリードする女性の一人で、世界経済フォーラムにもサイバーセキュリティ関連の記事を寄せたりしている。
まずは、サイバーセキュリティから組織を守る方法について。ドール博士は「堅固なサイバーレジリエンスの確保が最重要課題となっている」としたうえで、「経営層が最優先すべきは、事後対応型の対策から包括的なリスクアセスメントのフレームワークへと発想を転換すること。それにはまず、システムや機密データ、アクセスポイント、第三者との関係を含めた徹底的な資産の特定から始めるべきだ」と指摘する。
クラウド環境やリモートワークの普及に伴い、さまざまなシステムやツールが混在することがセキュリティを管理しにくくしている。こうした状況をドール博士は「サイバーセキュリティの複雑性」と表現し、この複雑性こそが本質的な敵だという。
advertisement
「複雑性の増大は可視性の欠如を生み出し、システムをより脆弱にする。この問題に対処するためには、組織はセキュリティを後付けするのではなく、最初から複雑性を軽減するセキュリティ・アーキテクチャを構築する必要がある」
それができたら、次にやるべきなのは「取締役会の議論にサイバーセキュリティを持ち込み、取締役会レベルの関与を確保する」ことだ。
「取締役会は、高度な脅威シミュレーションや卓上演習に投資すべきだ。サイバーセキュリティは単なるITの問題ではなく、組織のあらゆる側面に影響を与える重要なビジネス機能として捉えなければならない。このような視点の転換は、組織の真のレジリエンスを構築するために不可欠だ」
