DX時代のセキュリティ対策、経営者としてやるべきことは

宮越 一郎(みやこし いちろう)
NECネクサソリューションズ株式会社
コンサルティング統括部

セールスサポート、ERP企画開発を経て、2001年よりマーケティング関係を担当。
その後、商品企画や新事業開発などを経て、2015年よりマーケティング全般を統括。
2020年よりコンサル担当部門に転じ、現在はDXやITインフラ、セキュリティ関係のITコンサルタントとして活躍。
NEC DX認定コンサルタント/システムアナリスト/システム監査技術者

宮越 一郎(みやこし いちろう)

1. デジタルガバナンス・コードとセキュリティの関係

経済産業省が出しているDXの指南書「デジタルガバナンス・コード3.0」が2024年9月に公表されました。「デジタルガバナンス・コード」は2年ごとに更新されており、今回は経営者向けのメッセージや新たな視点などが追加されています。
詳しくは「デジタルガバナンス・コード3.0」が経済産業省のサイトで公開されていますので、そちらをご覧いただきたいのですが、その中の5つの柱の1つ「3.DX戦略の推進」に組織や人材と並んで「ITシステム・サイバーセキュリティ」が取り上げられています。
実はこの「サイバーセキュリティ」という項目は「デジタルガバナンス・コード2.0」では「ガバナンスシステム」という章にあったのですが、それがちょっと格上げされた形となっています。

デジタルガバナンス・コードの全体像
「DX経営に求められる3つの視点・5つの柱」

出典:経済産業省「デジタルガバナンス・コード3.0」を基に作成(注1)

出典:経済産業省「デジタルガバナンス・コード3.0」を基に作成(注1)

つまりDXをやるのであれば、IT依存度が高くなるのは必然であるのだから、きちんとサイバーセキュリティ対策はやっておきなさい、ということが3.0から強調されています。そしてそれを経営者に求めているということなのです。

2. 経営者の責任と果たすべき役割

ではその経営者の責任とはどのようなものなのでしょうか?

まずセキュリティの確保に向けては、以下のような手順を踏みます。

  • 1
    リスク調査

    まずセキュリティリスクについて網羅的に調査します。最近ではセキュリティ・フレームワークを用いて確認、調査することが多くなっています。

  • 2
    リスク分析

    重要なデータがどこにあって、そこではどんなリスクがあって、どのような対策がどれだけ必要なのかを分析します。

  • 3
    セキュリティポリシーの策定

    リスク分析結果を基に、基本方針や規程、基準、手順書などを整備します。

  • 4
    実装

    セキュリティポリシーに基づき、体制を整え、必要なITを導入し、運用して行ける体制を整えます。

  • 5
    運用・教育

    実装した仕組みを定常的に運用します。また従業員や経営者に対して定期的な教育や訓練を行い、定着化を進めます。

つまりリスクが変化すると、その対策も変化していかなければなりません。ご存じの通り、セキュリティリスクはここ数年で大きく変わっています。ということは数年前の対策では役に立たない、ということになります。そういう意味でも、このセキュリティの確保に向けたサイクルは定期的に回していく必要があります。
ですが、この対策を回していくことは非常に大きな労力が必要となります。現場の判断だけではできないのです。何としても経営による判断がそこには求められてくるのです。

では経営の責任を、具体的にはどのように果たしていけばよいのでしょう?
経営者としては以下のようなことを実行することをお勧めします。

  • 1
    重要なデータを把握

    セキュリティの基本です。どこを守るのか、どれくらい大事なのかを知るところからスタートします。

  • 2
    具体的な目標の設定

    売上や利益などと同じように目標を設定します。事故件数や不正侵入件数、教育の実施状況など数値で把握します。目標設定すると実績を取らなければならなくなるので、必要となるITも分かってきます。

  • 3
    定期的な会話

    定期的に目標に対して実績の報告をしてもらうとともに、それに付随する事項についても併せて会話しましょう。

  • 4
    分からないことは確認

    会話と共に徐々に知識も深まります。そして分からないことがあったら聞くことを躊躇わないでください。会話を続けていけば分かる範囲は広がっていきます。

3. 経営の意思としてのセキュリティ中期計画を!

今、セキュリティ対策は犯罪者との戦いです。その犯罪者は常に進化し、変化しています。分業も進み、サプライチェーンを組み、あなたの会社を狙っています。

そのような中で、「安心・安全」の確保を確保し、持続可能な企業活動を行うことが、お客様や仕入先、委託先や資金調達先など多くのステークホルダーから求められるようになってきています。そのためにはITセキュリティの確保が非常に重要な要素であることは疑いようもありません。
但し、一朝一夕には体制も整わないですし、ITに投資する資金も追いつかないでしょう。
経営者の理解にも時間は掛かるし、従業員への徹底もすぐに出来るわけではありません。
そうなると必要なのは、リスクを見極めて、優先度を決めて、少しずつでも計画的に実行していくしかないのです。

経営の意思でセキュリティの中期計画を作りましょう。

これからの社会、ITをベースとした仕組みを備えるDX企業が成長していきます。そうなるとセキュリティ対策は間違いなく、大きなウェイトを占めるようになります。
攻めと共に守りも固める、そんなバランスの取れた企業を、経営の意思として目指していきましょう。

2025年2月