CISOはCIO、CTOと何が違う？ CISOの「DX推進に欠かせない役割」とは（1/2 ページ）

日本ではまだまだなじみ深くはないCISO（最高セキュリティ責任者）というポジション。大手IT系企業以外で、こんなポジションを用意する必要が果たしてあるのでしょうか。実はDXを少しでも進める企業であればCISOを置くことが重要になります。CIOやCTO配下のセキュリティ担当者にはできないDX推進に欠かせない役割とはどんなものでしょうか。

[Adam Palmer，テナブル・ネットワーク・セキュリティ・ジャパン]

　日本は何十年もの間高度な工業国であり続け、テクノロジー導入においても先進国といえます。今後は事業の収益力や競争力を高める鍵がデジタルトランスフォーメーション（DX）にあることもいち早く認識し、対策を進めつつある状況でしょう。DXが進むと、「製品」（モノ）を売るビジネスから産業用IoT（IIoT）などの技術を活用してサービス品質や体験などのコトを売る「サービス」中心のビジネスにシフトすることも想定されます。ここで、顧客サービスとITが結び付くようになれば、CISO（最高情報セキュリティ責任者）の役割はこれまで以上に重要なものとなります。

ITとOTの融合がもたらす市場価値とセキュリティインシデント発生時の損害の拡大

　今までも重要な社会インフラに関わるシステムや製造業ではOT（Operational Technology）を管理してきました。ただし、その多くはインターネットが普及するよりも前の古いアーキテクチャに準拠したシステムでした。単独のシステムで稼働状況を把握するには十分ですが、逆に言うとそれ以上のことはできません。企業内に多数存在するOTのシステムは分断されたまま運営されてきた状況があります。

　昨今はコスト効率を高め、より機動的なオペレーションを実行するために、かつては分離されていたこれらのシステムを接続し、高度なオペレーションを目指す動きが盛んです。従来は構内ネットワークなどに閉じたシステムが中心でしたが、現在はIoTゲートウェイなどを通じてインターネットからクラウドサービスに接続するシステムも珍しくなくなりました。

　最近ではこれを「IT（デジタル）システムとOT（物理）システムの融合」と呼ぶこともあります。

古いOTシステムがインターネットにさらされることのリスク

　ここでリスクが拡大するのが、従来、外部のネットワークにさらされてこなかったOT領域のシステムです。インターネットにさらされることはもちろんですが、経路の途中でアクセスポイントやゲートウェイ、サーバ類などを中継することから、それぞれの機器の脆弱（ぜいじゃく）性対策にも配慮しなければなりません。これらの装置が全て単独のベンダーであるとは限りませんから、得るべき情報、確認すべきポイント、リスク算出などの対応は複雑化します。

　一方で、攻撃者にとってこうした状況は非常に都合が良いのが事実です。多数のベンダーのデバイスや複数のアクセスポイントがあれば、攻撃の糸口を見つけやすくなるでしょう。サイバー犯罪者は攻撃対象を格闘し、ITシステムやOTシステムだけではなく、双方から攻撃するアプローチを取り出しています。

　産業用制御システム（ICS）内のデータを活用し、ビジネスプロセスを最適化してリアルタイムに意思決定ができるようなデータ活用基盤を作ろうとすればするほど、組織はサイバー攻撃に対して脆弱になやすい状況になると言っていいでしょう。

　複数の攻撃ポイントを利用できるとなれば、サイバー犯罪者は産業用制御装置や運用技術（OT）をターゲットにし、コアITネットワークへの侵入を試みる可能性があります。また、ネットワークに接続するタブレットやスマートフォンを攻撃対象とすることも考えられます。

ほとんどの企業が攻撃を受けており、半数以上で事業に深刻な影響

　最近起きたサイバー攻撃では、企業評価の低下、ビジネスの逸失、後始末にかかる大きなコストなどの面で、組織に壊滅的な影響を与えています。

　Tenableが実施した調査によると、日本では99％の組織がビジネスに影響を与える攻撃を1件以上受けており、そのうち68％が、その攻撃によってOTに影響があったと回答しています（注1）。

　これらの結果は、ITとOTの融合した環境では死角を防ぐための総合的なアプローチが必要になっていることを示しています。また、サイバーリスクとビジネスリスクの間の明確な関係性を踏まえると、サイバーセキュリティは経営上の重要な課題として認識されつつあります。

注1：https://jp.tenable.com/analyst-research/forrester-cyber-risk-report-2020

ビジネスリーダーに必要なサイバーセキュリティの洞察力

　CISOのようなセキュリティの専門家がいない組織にとって、日々出現する新たな脅威に対処することには、大きな困難が伴います。

　サイバーセキュリティ戦略を備えているだけでは、組織の安全性を保つことはできません。それは、熟練したドライバーがいなくても派手なレースカーがあればF1に勝てると考えるような、荒唐無稽なことです。管理者であるCISOを雇わないまま新しいテクノロジーに投資することで、サイバーセキュリティ戦略が失敗に終わる可能性もあるのです。

セキュリティプログラムを取り入れただけでは対応できない問題

　多くのセキュリティプログラムは、あまり効果のない技術的ソリューションを多数導入することに依存していますが、これらのプログラムは、ビジネスに影響を与える重要なリスクの優先順位付けに重点を置いていません。

　2019年に新たに公開された脆弱性は1万7313件でしたが、クラッカーが攻撃に活用したのはそのうちのごく一部に過ぎません。

　企業環境では毎日のように新しい脆弱性が出現していることを考えると、一つ一つに対応しようとするのは非現実的です。

　実際のリスクを可視化せずに対応していると悪用される可能性の低い脆弱性に貴重なリソースと時間を費やすことになるため、「無駄な努力」になってしまいます。

　サイバーセキュリティに力を入れる組織は、現在、リスクベースの包括的なサイバーセキュリティ戦略を目指しています。これには、脅威インテリジェンス、脆弱性調査、確率データを使用して、組織に差し迫った脅威をもたらすリスクに焦点を当てることが含まれています。全ての脆弱性が同じように作られるわけではなく、最も重要な脆弱性に焦点を当てることが、デジタル資産を安全に保つ最も簡単な方法です。

　インフラが大きくなるにつれ、社内外のコンポーネント全てにおけるリスクへの露出度合いをくまなく追跡することは困難になります。そこでCISOは、脆弱性および重大なリスクを認識できるよう、戦略的リーダーとして組織を支援する役割を担います。重大なリスクを理解し、社内外のセキュリティレベルを指標化することで、組織の全体的なセキュリティ態勢を適切に評価します。

事例記事ランキング

• 本日
• 週間
• 月間

1. 日清食品HDのCIOが語る、生成AIの全社活用と自社環境構築の舞台裏
2. 三井住友海上のRPA導入、そのキーマンは知る人ぞ知るExcel VBAマスターだった
3. 元組み込みエンジニアの農家が挑む「きゅうり選別AI」　試作機3台、2年間の軌跡
4. 借金10億円、倒産まであと半年――創業100年の老舗旅館「陣屋」をたった3年でV字回復させた方法
5. サンリオの「キティちゃん」を支えるデータベースのチカラ

1. 日清食品HDのCIOが語る、生成AIの全社活用と自社環境構築の舞台裏
2. 借金10億円、倒産まであと半年――創業100年の老舗旅館「陣屋」をたった3年でV字回復させた方法
3. 元組み込みエンジニアの農家が挑む「きゅうり選別AI」　試作機3台、2年間の軌跡
4. サンリオの「キティちゃん」を支えるデータベースのチカラ
5. これを旅館と呼んでいいのか!?　老舗旅館「陣屋」が切り開く新たなビジネスモデル

1. 借金10億円、倒産まであと半年――創業100年の老舗旅館「陣屋」をたった3年でV字回復させた方法
2. 日清食品HDのCIOが語る、生成AIの全社活用と自社環境構築の舞台裏
3. サンリオの「キティちゃん」を支えるデータベースのチカラ
4. これを旅館と呼んでいいのか!?　老舗旅館「陣屋」が切り開く新たなビジネスモデル
5. 元組み込みエンジニアの農家が挑む「きゅうり選別AI」　試作機3台、2年間の軌跡