サイバー攻撃を受け、情報が漏洩し、店舗や工場を支える情報システムが止まる。

 こうした事態を避けるため、企業はサイバーセキュリティに取り組みつつあるものの、担い手となるセキュリティ人材の不足に直面している。

 企業はどうしたらよいのか。

(聞き手は谷島 宣之=日経BP総研上席研究員)

本書で一番言いたかったことは。

山本:サイバーセキュリティの鍵を握るのはリーダーです、ということです。どんな世界においても、物事の勝負はリーダー次第で決まってしまう。サイバーセキュリティも例外ではありません。

 サイバー攻撃に備えて企業は色々な取り組みをしなければなりません。セキュリティポリシーをまとめる、攻撃に対処するチームをつくる、セキュリティツールを導入する、などです。ただし、立派なポリシーを掲げたとしても、どれほど優秀なスタッフがいたとしても、どんなに高価な最新セキュリティツールを導入したとしても、リーダーシップが無ければ、それらは効果を発揮できません。

セキュリティリーダーが日本企業にも登場

どのようなリーダーが必要になるのですか。

山本直樹(やまもと・なおき)氏
PwCコンサルティング合同会社パートナー PwC Japan Cybersecurity&Privacy リーダー
コンサルティング業界で約20年の業務経験を持ち、100名を超えるチームの責任者として、金融機関や大手製造業などに対して、サイバーセキュリティ、ITガバナンス、事業継続管理、IT組織改革、ITコスト管理、内部統制といった幅広い分野に関するサービスを提供。事業会社の情報セキュリティ統括責任者として、顧客情報の保護、インシデントレスポンス、SOX法対応などに従事した経験を持つ。 (撮影:菅野勝男)

山本:ビジネスが分かり、セキュリティ予算や重要事項の決定権限を持ち、組織内の調整がうまく、問題が発生した時でも落ち着いて状況を分析し判断を下せる人です。セキュリティに絡む最新テクノロジーへの理解も求められます。欧米ではこうしたセキュリティリーダーをCISO(チーフ・インフォメーション・セキュリティ・オフィサー)と呼んでいます。

ビジネスが分かり、セキュリティの専門的なことも分かる人など日本企業にいるのでしょうか。

山本:これまではほとんどいませんでした。ところが最近になって経営層やそれに近いポジションにいながら企業のサイバーセキュリティを先導するリーダーたちが日本企業に登場しつつあります。公式にCISOと呼ばれる人もそうでない人もいますが、肩書きは重要ではありません。とにかく、ここへ来て、しっかりしたセキュリティリーダーを置く日本企業が出てきたのです。

 私が本を書きたいと思ったきっかけはそこでした。「CISOを置きましょう」と理屈だけ述べる教科書ではなく、実践者の肉声と実例と苦労談を盛り込んだ現場報告のような本を出したいと考えたのです。

中部電力、ホンダ、みずほ、Sansan、参天製薬の経営者やリーダー、総勢5人にインタビューされています。

山本:5社ともサイバーセキュリティに積極的な企業です。もちろん5社以外にもリーダーを擁する企業はあるのですが、今回はこの5社の方々に登場いただきました。

 各社にお邪魔して、自社におけるサイバーセキュリティの意味、経営陣との連携、セキュリティチームやセキュリティプロセスなど体制、セキュリティ人材の育成、といったことを尋ねました。

サイバーセキュリティといってもテクノロジーについてではなく、マネジメントよりの対話をした、ということですね。

山本:サイバーという以上、テクノロジーを避けて通れないわけですが、それについては良書が色々出ています。一方、経営者やビジネスリーダーがどう取り組むのか、といったマネジメント側の本で、しかもリーダー自身が登場する類書は無かったとみています。

 セキュリティに関する取り組みを公開するのはなかなか難しいところがあります。手の内を詳しく語るわけにはいきませんから。それでも「自社の取り組みを他社と共有し、互いに協力してこそ、セキュリティをより強固にできる」という姿勢が皆さんにあったので、可能な限り詳しく語ってもらえました。

セキュリティリーダーに共通する力や資質のようなものはありますか。