専門家対談　海外子会社を起点としたサイバーリスクにどう備えるべきか

近年、日本企業を狙ったサイバー攻撃が急増しており、あらゆる業種で情報漏えいや業務停止といった被害が相次いでいます。その矛先は国内拠点にとどまらず、海外子会社やグループ会社を起点に本社へ侵入を試みる攻撃も増加傾向にあります。特に、セキュリティ水準や意識のばらつきが生じがちなグローバル企業では、1拠点の脆弱性が全社のリスクへと直結しかねません。

しかし、国や地域によって規制や文化、人員体制が異なる中で、国内外を含めた統一的なセキュリティガバナンスを構築・運用することは容易ではありません。では、企業はどのようにして「実効性のあるセキュリティガバナンス」を確立し、グループ全体を守る態勢を整えていけばよいのでしょうか。

その解決策を探るべく、ニュートン・コンサルティング アソシエイトシニアコンサルタントの石野勝也氏と、NTTリミテッド・ジャパン 営業推進部 担当部長の青木繁之が、グローバルで機能するセキュリティガバナンスの要諦を語り合いました。

---

経営層を動かすカギは「攻め」の視点

――企業規模や業種を問わず、いつサイバー攻撃の被害に遭ってもおかしくない時代です。それでもなお、セキュリティ対策を「コスト」と捉える経営層は少なくありません。こうした認識を改め、セキュリティを前向きな「投資」として捉えてもらうには、どうすればよいのでしょうか。

石野勝也氏（以下、石野氏）：多くの企業をご支援する中で、経営層と対話を重ねてきましたが、「セキュリティはコストである」という考え方は依然として根強いと感じます。実際、痛い目を見ない限り意識が変わりにくいのが現実です。そのため、「守り」だけの話にとどめず、「攻め」の文脈に結びつけて伝えることが重要です。平時に経営層の意識を変えるには、たとえば営業や生産、企画部門といった「攻め」をミッションとする部門を巻き込みながら、次の2つの視点を示すことが効果的だと考えています。

1つ目は、セキュリティの遅れがビジネスの機会損失につながるという視点です。たとえば、入札要件を満たせずに大型案件を逃してしまう。こうした“取り逃がしリスク”を具体的に示すことです。

2つ目は、攻撃を受けた場合の損失の大きさを定量的に理解させるという視点です。製造や出荷の停止による機会損失など、ビジネスインパクトを数字で見せることで、経営層の危機感が一気に高まります。

青木繁之（以下、青木）：まさにその通りですね。私が支援するお客さまも、多くは「守り」がきっかけでご相談をいただきます。たとえば、ヒヤリハット的な軽微なインシデントを経営幹部が重く受け止めたときや、監査役からの指摘を受けたときなどです。

ただし、石野さんが言われたように、セキュリティ対策を守りではなく、事業拡大を支える攻めの投資として語ることが大切だと感じます。たとえば工場のラインを新設する際には、設備投資と同時にそのラインを保護する取り組みを行うなど、「成長と安全を一体で考える」視点を提示することで、経営層の納得感は格段に高まります。

――投資判断の前提にはアセスメントが欠かせませんが、その実施についてはどのように働きかけるのが効果的でしょうか。

青木：私はアセスメントを、企業の「人間ドック」にたとえて説明することが多いです。
企業という生命体が“健やかに100歳を迎える”ために、まずは定期的に健康状態を確認する。その過程で大病の兆候や軽微な問題が見つかれば、「現状は健康ですが、今後も定期的な点検が必要です」とお伝えしています。

私たちが担うのは病気を見つけるまで。つまり、リスク発見の段階です。そのため、次のステップは、見つけた異常を放置した場合にどのような影響が出るかを把握することになります。言い換えれば、セキュリティ被害が発生した際にビジネスへ及ぶ影響を定量的に可視化することです。この「リスクの数値化」をどのように行えばよいのか。ここはぜひ、石野さんにお聞きしたいですね。

石野氏：被害額の試算には大きく2つのアプローチがあります。1つは、公開されている算出モデルを活用する方法です。たとえば、日本ネットワークセキュリティ協会（JNSA）が提案する「JOモデル」では、実際の情報漏えい報告をもとに損害賠償額を算出します。また、情報処理推進（IPA）が提供するセキュリティ関連費用の可視化ツール「NANBOK」もあります。もう1つは、世の中で発生した実際の被害事例を参考に、自社の売上規模などに置き換えて概算を出す方法です。

青木：なるほど。とはいえ、十分な予算を確保できない企業では、まずセルフチェックから始めたいというニーズも多いと思います。一般的にはNISTサイバーセキュリティフレームワーク2.0がよく用いられますが、他に参考になるフレームワークはありますか。

石野氏：より厳格な対応を求める場合は、NIST SP 800-171（非連邦政府組織における管理対象非機密情報CUIの保護）が有効です。ただし、セルフチェックを実施するには、各拠点に一定のセキュリティ知識を持つ人材がいることが前提になります。そのうえで、評価のブレを防ぐためには、設問をアクションレベルまで細分化し、「できている／できていない」で判断できる形にすることが重要です。

サイバーセキュリティの世界でも「5W1H」「コミュニケーション」が重要

――「実効性あるセキュリティガバナンス」を構築する上で、最も欠かせない要素は何だとお考えですか。

石野氏：基本は5W1H、つまり「誰が」「何を」「いつ」「どこで」「なぜ」「どのように」という枠組みを本社がリードして明確にすることです。本社が役割分担を定めて周知し、各拠点には一定の裁量を持たせて実行を促す。そして、もし枠組みから外れていれば是正する。この仕組みをきちんと回すことが、実効性のあるガバナンスの第一歩です。

青木：セキュリティに対する意識と行動力の高い経営者は、例外なく現場をよく見ています。そうした企業では、石野さんが言う5W1Hを基礎にした実行計画が浸透し、ガバナンスが組織全体に根付いている印象があります。

石野氏：まさにそこが重要です。IT業界は人材の流動が激しく、コロナ禍を経てリモートワークも進みました。一度も会ったことのない本社の人間から指示されるのと、直接会って信頼関係を築いた相手から言われるのとでは、受け止め方も大きく異なります。実際、オンラインでのやり取りでは進まなかった取り組みが、現地訪問を機にスムーズに進み始めたという例は少なくありません。

青木：アセスメントを通じてガバナンスを機能させたいとき、やはり成否を分けるのはコミュニケーションです。言葉や文化の壁を越えて丁寧に対話できる経営者やIT担当者がいるかどうか。それが組織の末端までガバナンスが行き届くかどうかを左右します。

石野氏：同感です。本社が一方的に役割を押し付けるのではなく、「あなたが担ってくれて助かっている」としっかり伝えることが大切です。セキュリティは“何も起きない”ことが成果であり、評価されにくい領域だからこそ、感謝や労いの言葉を欠かさないことが、信頼関係を深めるうえで何より重要です。

――構築したガバナンスを維持するには、継続的な改善のサイクルを回すための仕組みも設ける必要があると思います。どうするのが効果的でしょうか。

青木：私は「コミュニティの形成」が鍵だと考えています。拠点間で密に情報共有できる相互補助の仕組みがあれば、自然と改善のサイクルが回ります。ただし、トップダウンで進めすぎると、経営層が交代した際に途絶えてしまうリスクがあるため、ボトムアップのつながりも併せて育てることが重要です。

石野氏：そうですね。たとえばガイドライン更新の情報や、各国で発生したインシデント事例を共有する場があると、それ自体がPDCAを回す仕組みになります。継続的な情報交流の場を持つことが、結果としてガバナンスの持続性を高めます。

グローバル展開特有の壁とどう向き合うか

――冒頭でセキュリティ投資が進みづらい背景を伺いましたが、特にグローバル企業では本社の担当者が苦心しているようです。どのような要因がありますか？

石野氏：完全子会社だけでなく、合弁会社も多いことが一因だと思います。出資比率が低いと主導的に動けず、思うようにガバナンスを浸透させられないケースもあります。それでも諦めずに進める企業は、理想的な機器やツールを提供できなくても、アドバイザリー機能やサポートデスクを設けて相談を受けるなど、支援の形を工夫しています。

青木：特に工場のような現場主導の拠点では、本社の意向をそのまま持ち込むのが難しい場合があります。ある経営者の例ですが、出資比率の高い提携先のCIOに敬意を示し、まず相手の立場や考えを十分に尊重したうえで、最後に本社としての要望をさりげなく伝える。そうした丁寧な関係づくりを通じて、最終的に双方が納得する形で合意に至っていました。

――GDPRや中国のサイバーセキュリティ法など、各国で異なる規制が存在する中で、グローバルで統一されたセキュリティ態勢を築くことは難しいのではないでしょうか。

石野氏：地域ごとに個別のルールを設けると、全体管理が極めて複雑になります。ある拠点にとっては過剰な対策になる場合でも、たとえば個人情報であればGDPRを基準に全社で統一し、要求の厳しい地域のみ追加対応を行う方が、実務的かつ分かりやすい方法です。

青木：そうですね。当社のお客さまでも、まずGDPRを基準として統一するケースが一般的です。ただし、中国のように独自の文化やルールが強い国については、別体系で運用することが多いですね。

――しかし、基準を高く設定して統一すると、本社側の管理は容易でも、各拠点の負担は大きくなるはずです。対応できない拠点は、切り捨てるしかないのでしょうか。

青木：いえ、そこからがむしろスタートです。アセスメントなどで状況を確認し、「できていない」が8割を占める場合は、現地の取り組みに問題がある可能性があります。逆に「8割はできていて2割ができていない」なら、現地の事情を考慮して柔軟に対応する必要もあるでしょう。

人材・法制度・コストなどの制約がある以上、完全に均一な形にするのは難しいものです。それでも、施策を打ちっぱなしにせず、改善を積み重ねて“あるべき姿”に近づけていく姿勢が大切だと思います。

成功企業ではトップメッセージが浸透している

――実効性のあるセキュリティガバナンスを構築できた企業に共通するポイントは何でしょうか。

石野氏：成否を分けるのは、本社がどれだけリーダーシップを発揮できるかです。私たちはプロジェクト開始時に社長やCISOへインタビューを行い、理想の姿を伺ったうえで、その内容をトップメッセージとして社内外に発信してもらうようにしています。これは非常に重要です。

青木：よく分かります。本社の方と各拠点を訪問する際も、トップメッセージの有無で現地の反応がまったく違います。

「当社は攻めるためにセキュリティガバナンスへ投資する。資金は出すので、しっかりやってほしい」――このようなメッセージが出ている企業では、現地の社長も現場も非常に協力的で、正直に課題を共有してくれる傾向があります。

――最後に、グローバルでのセキュリティガバナンス構築に向けた取り組みを進める企業に向けてメッセージをお願いします。

石野氏：本日の話でも「コミュニケーション」という言葉が何度か出ましたが、これは本当に重要です。信頼関係の構築は、大輪の花を咲かせるための“種まき”のようなもの。日々の対話の積み重ねが実効性のあるガバナンスにつながります。特に、本社はトップメッセージを携え、「指示する側」ではなく「共に進めるパートナー」としての姿勢を見せることが大切です。

また、セキュリティはITの知識だけで完結する領域ではありません。どんな情報資産がどこにあり、被害が出たらどの業務が止まるのか。現場と一体で把握し、ITとビジネスの視点を掛け合わせることが、ガバナンスを機能させる鍵だと思います。

青木：セキュリティ担当者の仕事は減点方式になりがちで、何も起こらなければ100点、加点はされないという性質があります。だからこそ、トップから「攻めるための投資」として前向きなメッセージが届くと、担当者のモチベーションが大きく向上します。

石野さんの言葉にもあったように、トップの意思が全社を動かす起点です。そのメッセージの中に、IT部門が“新たな受注や成長につながる要”であるというポジティブな意味を込め、組織全体が同じ方向を向くことが何より重要だと思います。