グローバルに事業を展開する企業にとって、いまやITセキュリティのリスクの高まりはビジネスの拡大と表裏一体をなしています。ひとたび大きなセキュリティインシデントが発生すれば、自社に致命的な損害を与える可能性も大いにありえます。
こうした局面にあって、経営者はどのようにセキュリティに向き合っていくべきなのか。多くの外資系企業でコンサルティングおよびセキュリティ関連サービスに従事し、世界の最新動向に精通する日本TCSの三好 一久が、シリーズで解説します。
第1回:不確実性の中で問われる真の戦略性、トレンド頼みの限界
ハイライト
- グローバル展開する企業の海外拠点や海外子会社におけるセキュリティインシデントが急増し、セキュリティのグローバルガバナンスが経営課題として顕在化している。
- グローバルガバナンスの難しさは、管理する領域の広さだけでなく、社会的な多様性、政治的な課題、コミュニケーションギャップなど、根本的な解決が困難な問題に起因している。
- グローバルガバナンスを成功させるには「複雑なものをさらに複雑にしてはいけない」ことを肝に銘じ、セキュリティとガバナンスの本質を押さえた取り組み・仕組みを実現していく必要がある。
IN THIS ARTICLE
ガバナンスの相談が急増している
過去二回の連載ではわれわれが置かれた状況、そして戦う相手である敵について本質論を述べた。第三回目からは論点をセキュリティの取り組みに移しつつ、特に重要でありながら経営者にとって具体的な解決方法がどこにも書いていないような、悩ましい分野について、引き続き本質を解きほぐしながら具体的な実践に役立つ内容を語っていきたい。
まずトピックとして挙げたいのは、近頃私の元にも企業からの相談がとにかく急増しているセキュリティの「ガバナンス」である。これはわれわれにとって特に新しいものでもなく、ずっと以前からビジネスと共に存在していた。しかし、何となくそれが大事なことは皆感じていたものの、真剣に本質と向き合って取り組んできた企業は非常に少なかった分野であるように思う。海外子会社のインシデントを発端とするものや、IT基盤の統合や新たなM&A、ベンダーの見直しなど、きっかけは各社さまざまだが、多くの企業が共通して急速に気づき始めているのは、“セキュリティのガバナンスの重要性、そして自社の状況の深刻さ。その一方で、これは解決が非常に難しく一筋縄ではいかないが避けて通ることもできない分野である”ということである。
特に、グローバル展開する企業の海外拠点や海外子会社におけるセキュリティインシデントが急増しており、以下のようなケースに起因する相談が毎週のように飛び込んでくる。
<海外のセキュリティインシデントの事例>
- ランサムウェアにより海外拠点の操業が止まってしまったケース
- 海外子会社から情報を抜かれ、漏洩を脅しに身代金を要求されるケース
- 海外子会社から本社側に侵入されてしまったケース
被害を受けた企業からの相談は切実である。もはやセキュリティのグローバルガバナンスは明確な経営マターとして顕在化し、何とかしなければ、と頭を抱える顧客の真剣度合いがかつてないほど高まっている。
一方で、それらの企業と会話すると、過去に何もしてこなかったというわけではない。多くはそれなりに外部のコンサルタントなどを入れ、多少なりとも取り組んできているように見える。しかし、うまくいっていないのである。セキュリティというのは全般的に取り組み自体、何事もなければ実績が見えづらいものであるが、特にガバナンスの領域というのは、実態も結果も普段見えづらく、他社の情報も極端に少ない分野であることは間違いない。インシデントに直接繋がるテクニカルな不備などと比べ、ガバナンスの失敗事例に焦点が当てられて語られることもほとんどない。しかし、多くの企業における実際のインシデントの被害状況とこれまでの取り組みを広く観察できる立場から見ると、この分野がいかに難しく、失敗や挫折を経験している企業がどれほど多いのか、死屍累々といっても過言でもないような状況が見えてくる。
セキュリティのグローバルガバナンスは、
<なぜ難しいのか>
<なぜ失敗するのか>
<失敗しないためには何を押さえないといけないのか>
これらの問いに答えていきたい。
グローバルガバナンスの難しさ①可視性・量的な課題
第一に、グローバルスケールのセキュリティはその対象がとにかく広く見えづらい。情報量をとっても、スマートフォンの容量と同じく、そもそも管理しなければならない情報自体が年々激増している。アタックサーフェスについても、ドメイン、IP、サーバー、拠点、サプライチェーンなど守るべきものや境界が日々増える。さらに、DXの推進と共に拠点、デバイス、オペレーションなどが互いに“接続”され複雑化している。このような量的な変化や複雑化とともに、リスクが動的、同時に、グローバルスケールで増え続ける。このような状況にどう対処していけばよいのか。
グローバルガバナンスの難しさ②社会的な多様性の課題
第二に、グローバルでビジネスを展開する以上、多様性は受け入れなければならない課題であり利点でもあるが、それぞれの国の事情や社会的な差異はどうしてもバイアスを生み、互いの発想にも影響するため、思わぬ落とし穴につながる。特に、文化やマインドセットの差異は、セキュリティへの潜在的な影響が大きい。例えば、日本人的な性善説が通じない国も多いし、内部の不正行為についても、悪いのは自分ではなく、それをできるようにしている管理側が悪いと考える人もいる。ビジネスにおいて信頼して任せることは不可欠ではあるが、信頼だけで安全性が担保できるわけではない。他にも、商習慣や規制の差異、ITリテラシーの差異、経済格差や予算的な差異など、考慮しなければならない点が多々ある。
グローバルガバナンスの難しさ③関係性、政治的な課題
第三に、本社と海外子会社の関係性や社内政治的な立ち位置、既存の事情により足並みをそろえるのが難しい。例えば、M&Aした海外子会社が既にグローバル展開している場合、グローバルスケールで既存のセキュリティオペレーションを合わせていかなければならない。そして、セキュリティにおいては、欧米の子会社の知識やスキルが本社よりも高く、言うことを聞いてくれないというのも非常によく目にする光景である。また、各社ローカルで個別のベンダーとがっつりリレーションを持っている場合も足並みをそろえるのが難しい。このような状況と併せて、日本的な緩やかな合意形成のアプローチや、相手に配慮し忖度したり、様子をうかがう文化が裏目に出てしまい、結果的にイニシアチブが取れず泥沼化し、ガバナンスが全く進まないケースを数多く見てきた。
グローバルガバナンスの難しさ④グローバルコミュニケーションの課題
第四に、これはセキュリティに限った話ではないが、コミュニケーションにおける課題はガバナンスを進める上で大きく影響する。すなわち、言語の差異、単純な距離や時差である。英語でのコミュニケーションは、バイリンガルリソースが潤沢でない日本企業においては、活動の大きな負担となる。また、国によっては相手国も英語が得意とは限らない。単純な距離や時差についても、どうしてもコミュニケーションギャップを生じさせてしまう要因となる。英語ができないからセキュリティが低下する、時差があるからセキュリティが低下する、ということではないが、他の課題も多い中で、自分たちにそれを乗り越えるキャパシティやリソースがあるのか、という点については真剣に考えなければならない。
グローバルガバナンスの難しさ⑤時間軸でみた持続性や整合性の課題
上記①~④の課題は、それぞれに根本的な解決が難しいものであるが、このような課題を前にしてなお長期的な時間軸において成果を確実に出せるよう、自分たちの状況や取り組みを継続的にトラッキングし、全体最適化を図っていこうとするのは、さらに難しい。また、単純な進捗だけでなく、組織ではビジネス目標とのフィットや要員育成・リソース活用との整合性なども長期的な考慮に入れなければならならず、時間軸での活動計画や定期的な現状把握、ギャップ分析などが欠かせない。
多くの企業がなぜ失敗するのか
セキュリティのグローバルガバナンスが、<なぜ難しいのか>という点について、いかがだったろうか。恐らく、抽象的で複雑だな、と感じた方が多いかと思う。では次に<なぜ失敗するのか>という点について述べるが、恐らく失敗している企業のほとんどに共通して私が最も強調したいことは「複雑なものをさらに複雑にしてはいけない」という一言に尽きる。これはセキュリティというそもそもが複雑な領域では、ガバナンス以外の分野においても、しばしば鉄則となる。
このような物事は、シンプルな方向に解決を導かないといけない。往々にして企業は、自社に知見がない故に、外部の上流コンサルタントたちにこのような分野の整理を任せる。そしてさまざまな軸、切り口、フレームワークを用いて、分解、分類し、紐づけられた結果として、一見しっかりと検討され、模範的とすら見えてしまうロードマップなどができあがる。しかしながら、複雑なものに対して、複雑なアプローチをとると、ただでさえ関係者や対象システムも多いのに、考慮すべき変数が増えてしまい自分たちが何をやっているのかすら分からなくなってしまう。これは、非常に多くの現場において実際見られる失敗の光景である。仕方のないことではあるが、セキュリティの専門家と称するコンサルタントのほとんどは、当事者としてグローバルスケールのガバナンスに従事した経験などめったに持っていないのである。同時に、見栄えが良く専門家っぽい成果物を作らなければならないという目的があるために、とにかく物事をこねくり回して複雑にしてしまう傾向がある。このようなコンサルタントがやり散らかした資料を目の当たりにすると、“こじらせている”なと、残念に思ってしまう。
何を押さえないといけないのか
①セキュリティの原則から
複雑なことに対しては、シンプルにアプローチすることが重要である。そのためにも、私はガバナンスについても、セキュリティの原則を押さえながら解決していくことを推奨している。特に私が常々重点的に伝えていることとして、主に以下のような点が挙げられる。
- 敵がいるから戦略はどうやってもトップダウン
- 守る対象が把握できていないのは話にならない
- 後手になればなるほど対応コストがかさむ
- グレーな管理、曖昧性は許されない
- セキュリティは弱いところに引きずられる
- 自分たちの努力 ≠ 攻撃者の狙い
- 全てを守ることは不可能
それぞれを詳しく説明することは文量の関係上、今回は省略するが、大半については、過去二回の連載において解説しているので、参照いただきたい。
②ガバナンスの本質から
次にここでいったん、ガバナンスのGovern(統治する)とはそもそも何なのかということを押さえておきたい。辞書を引くと、以下のように出てくる。
“rule or control (a state, subject, etc.) with authority; conduct the policy and affairs of(an organization etc.).”
引用元:The Concise Oxford Dictionary of Current English NINTH EDITION, edited by Della Thompson, CLAREDON PRESS・OXFORD, 1995, pp.587
これを訳すと、『権威をもって(国家、対象などを)統治する、または管理する、もしくは(組織などの)方針や業務を実行する』となる。したがって、Governとは単なる管理やモニタリングではなく、権威による実行、強制力であると考えられる。また、それを実現するためには、何よりもまず「権威の所在」がなければならないし、「権威による実行」がなければならない。
ここから確実に言えることは、ガバナンスというのは、トップダウンであるということである。アプローチとしてボトムアップは基本的にあり得ない。なぜならそれは、統治において権威の不在、あるいは反乱されていることと同義であるからである。しばしばガバナンスのあり方として、“連邦制”などという言葉を持ち出す人がいるが、敵がいるというセキュリティの本質から見ても、自治による采配を許して良い分野ではなく、トップダウンによる強力な指揮、明確な権威の設置が求められる。
次に、「権威による実行」についてだが、アプローチとしては以下の3種類しかないと私は考えている。すなわち、
① こちらの権威に従い進めることを命じる(自主的に従うことをお願いする)。
② お願いしてできなかった場合は、「何らかの強制力により」従わせる。
③ 相手側の能力やリソース的な問題で従わせることができない場合は、巻き取る。
いずれにせよ、毅然とした態度により、一貫してこちらが求めることを実現することが肝要である。なお、賛否あるかもしれないが個人的な意見としては、日本人は協調を重んじると考えており、気を遣うし、ぶつかることを避ける傾向がある。人を無理に従わせるのが得意な国民性ではないように思える。一方で、サービス精神旺盛な国民性なので、成功事例を横展開しながら粛々とオペレーションごと巻き取ってしまうのもお勧めである。
グローバルガバナンス実現に不可欠なものとは
3つの軸から導き出される対策 ここまでの論点として、大きくグローバルガバナンスの課題、セキュリティの原則、ガバナンスの本質の3つを軸に述べた。情報が多いため、それぞれの紐づけなどの説明は割愛するものの、これらをマッピングして導き出される対策をまとめると以下の仕組みや取り組みがグローバルガバナンスの実現には不可欠であると私は考えている。
- トップダウンで明確なイニシアチブ(権威の設置)、強制力を持たせる仕組み
- 新しく追加される資産(リスク)やオペレーションを素早く認知し、管理下に置く仕組み
- 継続的に現状把握(スナップショット)や目標管理(ギャップ分析)ができる仕組み
- 客観的な目線、並びに人材育成または外部支援(英語対応、現地対応等リソース)の取り込み
- 経営判断による優先付けと能動的なリスク受容(一時受容、切り捨て、保険による転嫁) 責任の所在と範囲を明確にする
補足として、セキュリティのガバナンスにおいて私が重要と考える「責任分界」(誰がどこからどこまで責任を負うか)についても多少触れておきたい。日本語において「責任」という言葉にはさまざまな意味合いが含まれるが、英語にするとResponsibility、Accountability、Liabilityという異なる言葉に言い換えることができ、これがガバナンスにおける体制や役割を考える上でとても役に立つ。つまり、執行責任(Responsibility)や説明責任(Accountability)を担う機能と、最終的な金銭的責任(Liability)を負う機能を明確にすることで、誰(どこ)が権威を持ち、誰(どこ)が執行のイニシアチブを担当するのかをはっきりさせることができる。ちなみに私個人としては、執行責任としてのガバナンス推進のイニシアチブは無理に日本に置かなくても良いと考えている。北米の子会社などの方がセキュリティの取り組みが進んでおり言うことを聞かない場合は、得意なところに任せてしまってもよい。ただし、ここで重要なのは、“言うことを聞きたくないのであれば、そこにグローバル全体の執行責任を負わせ、管理させる。同時に日本は株主としてのLiability、権威の所在としての自覚と毅然とした態度を失ってはならない”、ということである。
最後に、セキュリティのグローバルガバナンスについては、非常に複雑であり、かつ実際に対応するにもグローバルレベルでさまざまな要求がある分野である。その相談先として多数の問い合わせを頂けるのは、当社のグローバルリソースやケイパビリティが信頼されているが故であり、大変ありがたいことだ。限られた文量でこのトピックを語るにはかなり無理も感じたが、要点を濃縮したつもりなので、日々悩まれている経営者の方にとって何かしら気づきになれば幸いである。なお、数は少ないが、日本企業の中でも欧米の大手と同等レベルでグローバルガバナンスをしっかりと成功させている会社も見てきた。今回は語れていないが、成功事例もあるので、なかなか上手くいっていない場合でも諦めないでいただきたい。
三好 一久(みよし かずひさ)
イリノイ大学アーバナシャンペーン校卒。サーバー、ネットワーク、データベースと幅広い領域でエンジニアとしてのキャリアを積み、KPMG、デロイトにて上流コンサルティングを経験。その後、マカフィーにてコンサルティング部隊の立ち上げ、CISO(Chief Information Security Officer)を務めたのち、欧米企業2社においてカントリーマネージャーおよびAPAC統括を歴任。2023年10月、日本TCSに入社し、CISOを務めながら、サイバーセキュリティ部門を率いている。
関連情報
お問合せ
お問合せ