さくら情報システム
技術開発部
鈴木 優一

１．DXとサイバーセキュリティの関係

デジタルトランスフォーメーション（DX）により企業の変革が進んでいますが、2021年のトレンドマイクロの調査では、DXを推進する担当者のおよそ35％がセキュリティ事故（インシデント）を経験していることが判明しています。

セキュリティ対策を怠ったことが原因で、DXが失敗した事例も多く報告されています。以下はその一例です。

このような失敗をせず、DXを成功させるためには、「サイバーセキュリティへの取り組み」が欠かせません。実際、政府がDXの実績にお墨付きを与える「DX銘柄」という制度において、その評価基準には、企業がサイバーセキュリティにきちんと取り組んでいることが含まれています。

「DX銘柄」への選定は、言わばDX成功の証明に等しく、顧客や利害関係者からの信頼を得ることに加え、企業価値の向上や競争力を示す指標にもなり得ます。

つまり、DXの成功の土台には、サイバーセキュリティへの取り組みがあると言えます。

２．サイバーセキュリティを取り入れた経営戦略

では、どのように取り組めばよいのでしょうか？  一つの指針として、経済産業省と独立行政法人 情報処理推進機構（IPA）が策定した「サイバーセキュリティ経営ガイドライン」（2023年３月に第３版が公開）があります。

このガイドラインには、経営戦略としてサイバーセキュリティに取り組むための具体的な対策や実施方法、「経営者が認識すべき３原則」などが記載されています。

以下は、その３原則を要約した文章です（①〜③を付した箇所が３原則の要素）。

３原則のポイントは、自社のリスクマネジメントの対象に、まずはサイバーリスクが存在することを認識し、きちんと対策を検討することが重要であるということです。そして、有事は起きるという前提で備え、起きた影響は自社内だけに止めることを想定するのではなく、さまざまな利害関係者にも影響が及ぶ可能性を十分に考慮しましょう。この考え方が現代のビジネス環境においては非常に重要です。

３．経営者が現場を動かすためのポイント（検討プロセス）

経営戦略にサイバーセキュリティを取り入れて進めようとしても、現場との足並みが揃っていなければ十分な効果は期待できません。特に現場は、セキュリティ対策を「この製品を導入すれば、不正アクセスを防ぐことができる」、または「海外の先端技術を採用した新製品を取引先のシステムベンダーにお勧めされた」というように、技術目線かつ個別最適で考えることが多いため、注意が必要です。

したがって、経営者は「ビジネスや事業を実施するうえで目指す成果、およびその成果を獲得する際の経営視点から見たビジネスリスクが何かを予め示すこと」を現場との対話に向けて準備しましょう。

そして、現場との対話では「ビジネスや事業の成功を高めること、またはビジネスリスクを軽減することにセキュリティがどう貢献するか」を具体化します。なお、定量化、数値化できるものがあれば積極的に取り入れましょう。

具体的な検討プロセスについて、例を添えて以下に示します。

このプロセスは、近年の複雑化、多様化したサイバーリスクに対し、自社に適した対策を検討する方法として提唱されているもので、これまで通り、リスクや資産、脅威をベースとして対策の検討を進めることに変わりはありません。

経営者と現場が対話し、視点や認識を共有することで、組織一丸となった真のセキュリティ対策が可能になります。

４．最後に

企業のセキュリティ対策は、今や単なる技術的な課題でも、また現場の担当者のみで対処する課題でもありません。これからは、経営視点のビジネスリスクと現場視点の技術的なセキュリティリスクに、トップダウンとボトムアップ両軸で取り組むことが大切です。そして、サイバーセキュリティを予め検討し、経営戦略に組み込むことが何より重要です。経営者がリードし、セキュリティをともなったDXを推進する、つまり「DX with Cyber Security」がDX成功への鍵となるでしょう。

ご案内

IT企画伴走支援サービス 「絆」

https://www.sakura-is.co.jp/solution/ps-000-149.html/

「Netpress」はPDF形式でもダウンロードできます

SMBCコンサルティング経営相談グループでは、税金や法律など経営に関するタイムリーで身近なトピックスを「Netpress」として毎週発信しています。過去の記事も含めて、A4サイズ1枚から2枚程度にまとめたPDF形式でもダウンロード可能です。

PDF一覧ページへ