資生堂から学ぶリスクマネジメントの神髄 本気でリスクを数値化する方法:ITmedia Security Week 2023冬 イベントレポート(1/2 ページ)
サイバー攻撃が激化する今、外部/内部環境のリスクを適切に把握・管理して、脅威に優先順位を付けて対応するにはどうすればいいか。資生堂のCISOが実践しているリスクを数値化して評価する手法を紹介しよう。
この記事は会員限定です。会員登録すると全てご覧いただけます。
サイバー脅威が激化した今、企業は守るべきものは何かを十分に理解し、それを死守するためのセキュリティ体制・手段を自社だけでなくサプライチェーン全体で構築・運用することが急務となっている。実践企業はこれをどう進めているのか。
資生堂の斉藤 宗一郎氏(情報セキュリティ部長《CISO》)が信頼される企業となるためのサイバーリスク管理の取り組みとその考え方を披露した。
本稿は、アイティメディア主催イベント「ITmedia Security Week 2023 冬(2023年11〜12月実施)における斉藤氏の講演を編集部で再構成した。講演内容や講演者の所属・役職などは講演当時のものとなる。
まずは外部/内部環境の理解が重要
情報セキュリティ施策の立案・遂行は、まず外部/内部環境を理解することが重要だ。外部環境では、コロナ禍以降、サイバー攻撃の発生頻度が高まり、内容も複雑で巧妙になっている。一度インシデントが発生すると、経営へのインパクトは大きく、個人情報保護法での罰則、金銭的損失の被害額も看過できず、何よりブランド毀損(きそん)のリスクが過去になく高まっている。
一方、内部環境ではセキュリティ対策の優先度が上がらず、絶えずコスト削減のプレッシャーにさらされている。また、予算とセキュリティ人材は慢性的に不足しており、外部採用はままならず、採用した人材のキャリアプランも曖昧だ。
セキュリティで守るべきものの代表としてデータがある。データは21世紀の原油であるともいわれている。これは奥深くにアーカイブすればいいというわけではなく、ビジネスパートナーや取引先との間で共有して初めて価値が出る。
しかし一度流通した情報はその所在を正確に把握することが困難であったり、削除が難しかったりする側面もあり、自社を超えた利用には境界防御という概念を超えて真剣に守る姿勢が重要だ。他方、データのローカライゼーションも注目されており、データの越境移転制限に関する法令や、生活者の自分のデータに対する関心にも配慮が必要になる。
“見えないものは管理できない。管理できないものは守れない”
資生堂は、サイバーセキュリティを経営課題と位置付け、情報セキュリティの方針を経済産業省の「サイバーセキュリティ経営ガイドラインVer.3.0」に基づいて整備をしている。
この他、「ISO27001」や米国立標準技術研究所(NIST)の「Cybersecurity Framework」、SANSの「CIS Controls」を組み合わせて「資生堂セキュリティフレームワーク」(以下、SSF)を構築している。特徴的なのはリスクマネジメントの国際規格である「ISO 31000」もSSFのベストプラクティスとしていることだ。
斉藤氏は「資生堂は情報セキュリティ施策の基本姿勢として『見えないものは管理できない。管理できないものは守れない』を掲げています」と話す。
「情報は自社のデータセンターやクラウド、自宅のPC、USB、Web会議システム、スマートフォンアプリ、SNS、Webサイト、外部委託先と随所に散在して存在する。これらが全て可視化されて初めて守ることが可能だ。可視化に当たっては、自社が何を守りたいのか、守るべき情報資産やデータは一体どこにあるのか、最終的にはそれがいくらの価値があるのか。これらが分かっていないと、的外れな情報セキュリティ施策になる」(斉藤氏)
守る範囲は拡大している。昔なら自社のデータセンターを見ていればよかったが、今はクラウドやSaaS、取引企業、PC、スマートフォンと、データは随所に散在している。冒頭でも触れたように重要なデータというのは共有して初めて生きてくるからだ。そして、これと合わせて考慮する必要があるのが、個人情報保護法や経済安全保障状況、知的財産保護の動向だ。最近はこれらが非常に厳しく見られる時代になってきている。
斉藤氏は「“セキュリティが重要なのは承知しているが、どこまでやったらよいのか”とよく言われる。これを判断するには、持っているデータの価値を可視化することだ。資生堂では、そのためにPML(Probable Maximum Loss)分析を実施し、サイバーリスクを定量化して関係者との合意形成を進めている。これをうまく推進するには財務部との協業が欠かせない。結局、リスクをゼロにすることは難しく、リスクをカバーするための保険が必要で、これを主管している財務部門との密接な協議が求められる」と語る。
この他、適切なコンサルタントの選定も重要だ。ITやリスク分析に詳しいコンサルタントと伴走することで、情報セキュリティのメンバーも関連業務に関する理解が深まるという二次的な効果もある。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- 「SAPのUXをガラッと変える」 AIアシスタントJouleの全体像とは?
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 検出回避を狙う攻撃者の動きは加速、防御者がやるべきことは Mandiantが調査を公開
ITmediaはアイティメディア株式会社の登録商標です。