DX時代のセキュリティに求められる3つの「eXtend」

NRIセキュアでは、2021年秋に「企業における情報セキュリティ実態調査2021」^※を実施しました。この調査は、日本、アメリカ、オーストラリアの情報システム・情報セキュリティ担当者を対象としたもので、2002年の開始以来19回目となります。今回の調査結果とそこから導いた望ましいセキュリティ対策、3つの「eXtend（拡張）」についてご紹介します。

※有効回答数：日本 1,616社、アメリカ 511社、オーストラリア 526社

一方で、テレワークを含むDX推進に欠かせないゼロトラストセキュリティの導入は、日本ではまだ進んでいないことも明らかになりました。

DX時代にふさわしいセキュリティ対策が遅れる原因の1つはCISOの不在

新規セキュリティ対策の投資額をみると、前年度より予算が増加している企業は、アメリカ、オーストラリアでは50％以上だったのに対し、日本では30％未満でした。

DXには、新しいセキュリティリスクが伴います。既存のセキュリティの延長、例えば境界防御型モデルを強化していっても、やがて限界が来ます。

日本でセキュリティ投資額が伸びない理由の1つは、CISO（Chief Information Security Officer：最高情報セキュリティ責任者）の設置が少ないことが関係していると思われます。事実、アメリカとオーストラリアでは90%前後の企業がCISOを設置しているのに対し、日本では40%程度にとどまっています。

CISOを設置したいと考えても、適切な人材がいないケースも考えられます。しかし、アメリカ、オーストラリアでは社外の有識者を採用する、あるいは他の業務と兼任する形でCISOを設置しているといった回答が多く見受けられます。

つまり、外部のリソースを活用する、もしくはセキュリティ部門以外の人材を登用して、その人物に対してセキュリティの再教育を行うといった方法が重要になってきます。
日本においても、DX時代にふさわしいセキュリティを確保するために、CISOの設置が求められると言えます。

広がるビジネス、広がるセキュリティに対応するための3つの「eXtend」

調査で明らかになった日本企業の現状は、DXの検討は進んでいるものの、それにふさわしい新規セキュリティソリューションの導入が遅れており、アンバランスさが際立ちます。

標的型攻撃を含むサイバー攻撃の脅威が数多く存在する中、DXの取り組みによりビジネス環境が拡大することは、セキュリティが守るべき範囲が拡大することを意味します。

こうした現状に対応するためのポイントは3つの「eXtend」です。

1つめの「eXtend」は、最高責任者「CxO」の拡張です。

DXを進める上では、データや情報技術の活用を推進するデジタル戦略、その戦略を実現するIT戦略、これらを安全に運用するセキュリティ戦略の3つが大切です。この3つの要素のバランスをとるためには、それぞれの最高責任者である「CxO」を立て、彼らの連携のもとにDXを推進することが重要です。

2つめの「eXtend」は、戦略における視野の拡張です。

局所にフォーカスして部分最適に陥るのではなくて、全体に目を向け全体最適な戦略にシフトすることが求められます。サプライチェーンを例に挙げると、これまで自社のセキュリティ、重要拠点のセキュリティにフォーカスして部分最適な戦略を立てていたところから、セキュリティ戦略のスコープ前提をサプライチェーンリスク全体に広げて、時代の要請や脅威動向を踏まえて全体最適な戦略を立てていくことが求められます。

3つめの「eXtend」は、拡張の阻害要因を解消することです。

これは、既存で培ってきたセキュリティ戦略や対策の習慣・惰性をアンラーニングすることを意味します。DXの取り組みを進めると、新しいリスクが次々に発生します。それに対して、現状を是として継ぎ足し的にセキュリティを追加していくだけでは、最終的に非効率な環境ができあがってしまいます。

古くなったセキュリティを手放し、自動化・省力化されたセキュリティ対策など、DX時代にふさわしいセキュリティ対策にアップデートする積極的なマインドや挑戦が、今後いっそう求められます。