グローバルに事業展開している企業にとって、サプライチェーン全体を巻き込むサイバー攻撃のリスクは、事業継続を揺るがしかねない深刻な経営課題といえよう。サイバー攻撃がより高度化していく環境下では、ITガバナンスとセキュリティの重要性はかつてないほど高まっている。
しかし、その重要性を認識しつつも、国や地域による環境の違い、そして組織内部のさまざまな障壁などによって、統一的なガバナンス体制の構築に苦慮している企業は少なくない。
本稿では、長年にわたりグローバルな事業活動をシステム面から支えてきた丸紅I-DIGIOのIT基盤サービスセグメント 基盤第二事業本部 事業本部長 野田 朋宏、同事業本部 IT基盤デザイン室 室長 橋元 大輔の両名に、グローバル企業が直面するITガバナンス・セキュリティなどに関する課題と、その解決に向けた実践的なアプローチについて話を聞いた。
グローバルITガバナンスとセキュリティの重要性
――近年、グローバルに事業展開する企業において、ITガバナンスやセキュリティの重要性が改めて叫ばれています。この背景にはどのような要因があるのでしょうか。
橋元 まず基本的な認識として、ITガバナンスやセキュリティ対策は、もはや単なる情報システム部門の課題ではなく、グループ全体の「リスク管理」であり、「経営の安定」に直結するものだと捉える必要があります。
特に近年、その重要性を押し上げているのが、サイバー攻撃の巧妙化と、サプライチェーンを狙った攻撃の増加です。かつては本社が強固なセキュリティを築いていれば安心という風潮もありましたが、今は全く状況が異なります。例えば、セキュリティ対策が手薄な海外の子会社や関連会社が一つでも攻撃の侵入口となれば、そこを踏み台にしてグループ全体に被害が広がる「サプライチェーン攻撃」が頻発しています。一つの拠点で情報漏洩やシステム停止といったインシデントが発生するだけで、グループ全体の信用を失墜させ、最悪の場合、事業継続そのものに重大な影響を与えかねません。このリスクの大きさが、グローバルで統一されたガバナンス体制の構築を急務にしている最大の要因といえるでしょう。
野田 今の話に加えて、経営層の視点から見ると、この問題は「グループ全体の責任」問題として捉える必要があります。海外拠点で起きたインシデントであっても、最終的な責任は日本の本社を含む企業グループ全体が負うことになります。そうなると、ブランドイメージの低下や、顧客からの信頼喪失など、計り知れないダメージを被る可能性があります。
もはやITは、どこかの一部署が独立して管理するものではなく、グループ全体の経営という観点から考えるべき重要な課題です。しかし、その認識にまだ追いついていないケースを散見するのが現状です。だからこそ当社では、ITガバナンスへの取り組みを「コスト」ではなく「経営を守るための投資」として捉え、グローバルレベルで真剣に取り組むことの重要性を広く提唱しています。
グローバルITガバナンス実現を阻む主な課題
――グローバルITガバナンスの重要性は理解できても、実際にそれを実現するとなると、多くの困難が伴うように思われます。どのような課題、ハードルがあるとお考えですか。
橋元 現場レベルではさまざまな障壁が存在します。まず、物理的・制度的な課題として、国や地域ごとにITインフラの成熟度、利用できるネットワーク環境、そしてデータ保護に関する法規制が大きく異なる点が挙げられます。日本と同じ基準をそのまま海外拠点に適用しようとしても、技術的に不可能だったり、現地の法律に抵触したりするケースがあります。
また、組織的な課題もあります。特に海外の子会社では、IT専門の担当者が不在で、他業務と兼任していることが少なくありません。そのような状況では、本社から高度なセキュリティポリシーが通達されても、それを正しく理解し、実行に移すためのリソースもスキルも不足している、というケースが散見されます。
さらに、各拠点の意識の問題もあります。子会社は当然、目の前の自社のビジネスやコストを最優先します。そのため、本社からセキュリティ強化を指示されても、「それはコストがかかる」「今のビジネスには直接関係ない」と、投資に消極的になりがちです。結果として、グループ全体で統一したポリシーを現場の隅々まで浸透させることが非常に難しくなっているのです。
野田 そして、橋元が挙げたそれらの課題の根源にある、最も本質的で大きな課題は、「経営層のリーダーシップ」だと考えています。結局のところ、現場レベルの課題は、経営トップが強い意志を持って号令をかけなければ解決できません。たとえば、拠点ごとに異なる主張が出てきたり、営業部門や製造現場の力が強く、情報システム部門の声が届かないことがよくあります。このような状況を、情報システム部門だけでコントロールするのはかなり難しいといわざるを得ません。「これはグループ全体の経営課題である」とトップが明確に表明し、強力なリーダーシップを発揮して全社を統制していく必要があります。
しかし現実問題として特に日本の企業においては、まだまだこうした意識が浸透しているとはいえない傾向にあります。本業に与えるサイバーリスクの重大さを正しく理解するよりも、目先の事業利益やコスト削減を優先してしまう。その結果、本社が「こういうふうにやりなさい」と指示を出しても、子会社から「そんなお金はかけられない」という反発に遭い、ガバナンス自体が形骸化してしまうのです。経営層のリーダーシップによって、改革を推進していくことが重要だと考えています。
課題解決に向けた実践的アプローチとベストプラクティス
――具体的な進め方としては、どのようなアプローチが有効なのでしょうか。
橋元 まず実践の第一歩として、グループ全体で守るべき共通の「ルール」を明確に定め、それを明文化することから始めなければなりません。誰が読んでも同じように解釈できる、具体的で分かりやすいポリシーや基準書を作成し、それを全ての拠点に周知徹底することがスタート地点です。
ただし、ルールを作って配布するだけでは、多くの場合、現場の解釈にズレが生じたり、「認識の齟齬」が生まれたりして、結局は形だけのものになってしまいがちです。そこで重要になるのが、ルールを担保するための「仕組み」、つまり共通のIT基盤を構築し、システムによる統制を効かせることです。たとえば、認証システムやアクセス管理、ログ監視などの仕組みを共通化することで、人為的なミスや意図的なルール違反を防ぎ、ガバナンスの実効性を高めることができます。もちろん、この一連の取り組みは、野田が先ほど指摘したように、経営層が主導するトップダウンで進めることが大前提となります。
――ルール作りと、それを実行させる仕組み化の両方が必要だということですね。
野田 その通りです。そして当社が考えるアプローチは、さらにその手前の段階から始まります。それは、まず自社グループがどのようなリスクに晒されており、現状の対策レベルがどうなっているのかを正しく「可視化」し、認識することです。
ここで一般的なSIerとの違いが出てきます。多くのSIerは、システムを「作ること」「構築すること」がゴールになりがちです。しかし、お客様にとっては、システムが完成し、「利用を開始してから」が本当のスタートです。当社は、長年丸紅グループ全体のシステムを実際に構築・運用してきた経験から、構築後の運用フェーズまでを見据えたアプローチを重視しています。
具体的には、まずお客様と共に課題の洗い出しとアセスメントを行い、現状を客観的に把握します。その上で、企業が目指すべき方向性をコンサルティングし、実現可能な計画を策定します。そして、単にシステムを導入して終わりではなく、最終的にお客様の情報システム部門が自律的にその体制を維持・運用していけるようになるまで、徹底的に伴走支援します。作るだけでなく、使いこなし、育てていくところまでを支援することが真の価値提供だと考えています。
持続的なグローバルITガバナンスの実現に向けて
――いったん体制を構築したとしても、それを維持し、さらに発展させていくことが難しいということですね。持続的なガバナンスのためには何が必要でしょうか。
橋元 ITガバナンスは、一度作ったら終わりというものでは決してありません。サイバー攻撃の手法は日々高度化していますから、一度構築した共通基盤やルールも、常に最新の脅威に対応できるよう、継続的に見直しとアップデートを行っていく必要があります。たとえば、新たな脆弱性に対する対策を講じたり、定期的な監査を行ったりといった活動が不可欠です。
同時に、「人」に対するアプローチも欠かせません。どんなに優れた仕組みを導入しても、それを使う従業員のセキュリティ意識が低ければ意味がありません。そのため、全従業員を対象とした定期的なセキュリティ教育や、インシデント発生を想定した訓練などを継続的に実施し、組織全体のセキュリティリテラシーを高めていく必要があります。これらの活動を各拠点任せにするのではなく、本社が主導権を握り、グループ全体で共通の活動として推進していく体制が、持続的なガバナンスの鍵となります。
野田 そして、その「継続するためのルール作り」や「持続可能な運用体制の構築」を支援することこそ、当社の経験を最も生かせる部分だと自負しています。当社自体が、丸紅グループという広大なグローバルネットワークの中で、長年にわたって試行錯誤を繰り返し、運用を続けてきた実績があります。その中で培ったノウハウがあるからこそ、机上の空論ではない、実践的で持続可能なガバナンス体制の構築をお手伝いできるのです。
今後の展望としては、こうした当社のノウハウを、丸紅グループ内だけでなく、外部のグローバル企業様にも広く提供していきたいと考えています。セキュリティやガバナンスの悩みから解放され、お客様が安心して本業に専念できる環境を整えることこそが、当社の使命であり、社会貢献だと考えています。単なるシステムベンダーではなく、お客様に伴走してご支援し、共に成長していくパートナーでありたいと願っています。
――グローバルITガバナンスは、単なる技術的な課題ではなく、経営層の強いリーダーシップと、構築から運用、そして継続的な改善までを見据えた包括的なアプローチが不可欠な「経営課題そのもの」であるといっても過言ではない。自社の現状を正しく把握し、実現可能なルールと仕組みを構築し、それを組織の文化として根付かせ持続可能なものにしていくことが重要といえる。そして、それを可能にするグローバルITガバナンスに関する実践的なノウハウを持つパートナーの存在は、多くのグローバル企業にとって心強いものとなるに違いない。
お役立ち資料
ITガバナンスの企画~構築・運用までワンストップでサポートする
「ITガバナンス・トータルサポート」に関する資料をダウンロードいただけます。
