シンプルなサイバーセキュリティ対策を目指して

忍び寄る複雑性の罠

10年前でさえ、多くの大企業ではシステムの構築や保守、フットプリントに多額のコストがかかっており、これらIT資産の運用管理は非常に複雑でした。さらに、スマートフォン時代が到来したことでデジタル化が飛躍的に進み、状況は一層複雑になりました。

企業は自社のビジネス領域を拡大し、収益性の高い新たな成長ビジネスを獲得するために、多様な新しいパートナーとエコシステムを構築してきました。その範囲は、複数の製品やサービス（ITサービスを含む）のサプライチェーンだけでなく、データ、流通、マーケティング、イノベーションを目的としたパートナーシップまで多岐にわたります。

最近では、新型コロナウイルス感染症（COVID-19）の感染拡大もビジネスに大きなインパクトを与えています。多くの企業がデジタル化を推進しており、外部ベンダーが運用するデータ、デジタルネットワーク、モバイルデバイスといったデジタルソリューションの採用が急速に進んでいます。

通常、多くの組織が採用している技術基盤は、柔軟性にいくつかの制約があるレガシーシステムによって構成されており、機能が追加されるたびにその複雑さは増しています（近年台頭している“デジタルネイティブ企業”は、技術基盤がシンプルであるという利点があります。これらの企業は、システム間の相互運用性を向上させる最新のテクノロジー、基準、技術を用い、最初から“デジタルファースト”を想定しています）。

レガシーシステムには、攻撃者に悪用可能なほころびやシステム間の連携が存在することが多く、攻撃者にとって侵入しやすい環境になっています。さらに、レガシーシステムを利用している大企業は、デジタルネイティブ企業の後塵を拝さないようにとプレッシャーをかけられています。異なるシステムの統合は、すでに複雑化しているシステム同士を接続することを意味するので、リスクは増大します。つまり、システムの複雑さは指数関数的に高まってしまうのです。

こうしたシステムの複雑さにより、サイバーリスクとシステムの管理運用コストは危機的な水準まで高まっています。深刻なサイバー攻撃の件数は、世界中で増加しています。例えば、深刻な被害をもたらしているランサムウェア攻撃や、政府機関、防衛組織、ハイテクシステムを狙った標的型攻撃などが代表的であり、ITネットワーク管理ソフトの脆弱性を狙ったものや、間接的なサプライヤーを介してデータを侵害するものなどが多いです。そして、重大なインシデントが発生するたびに、（官民問わず）数千人のユーザーがリスクにさらされ、攻撃の痕跡が何カ月も発見されないままになってしまう可能性もあるのです。

「コスト」と「リスク」のトレードオフをどう捉えるべきか

COVID-19の感染拡大を受け、多くの経営幹部は自社の成長戦略を再検討しています。コロナ禍は自社のセキュリティ対策を見直す適切なタイミングだといえるでしょう。これを機に、自社がどの程度のサイバーリスクを抱えているのか、システムの複雑性に起因するコストがどのくらい膨れ上がっているのかを評価すべきでしょう。これは事業部門、業界、地域によって異なりますが、リーダーにはビジネス上の取り決め、システム運用、ITインフラの複雑性を自己評価できる優れたメンタルモデルが必要とされています。

システムの複雑性とサイバーリスクの範囲を考察するフレームワークの1つに、ノーベル経済学賞受賞者であるRonald Coase氏が提唱した「コースの定理（Coase Theorem）」があります。コースの定理は、「企業が製品やサービスを提供する際、外部との取引コスト（外注コスト）が、内製する場合のコストを上回るまでは、外部の業者を利用すべきである」としています。この考え方はサイバーリスク評価においても同様かもしれません。

サイバーリスクは一種の「外部」コストであり、攻撃者の手口が高度化し、脅威が拡大するにつれて上昇します。一方で、デジタル化の普及と低コスト化により、複数の組織とのパートナーシップの構築は潜在的リスクを抱えているものの、その「取引」コストは実際には低下しています。その結果、複雑さを生み出すコストが大幅に低下する一方で、失敗のコストが大幅に上昇するという新たな状況が生まれたのです。

3つの領域で考えるシンプル化の必要性

自社システムの安全性を確立するため、より良いバランスの維持に努めるリーダーは、いくつかの基本原則に沿って対策を講じることが有効です。

1つは、戦略的な施策を講じた結果、複雑化のリスクを増加させたり、現状を悪化させたりしないようにすることです。もう1つは、システムのシンプル化は、システムを再構築するだけでは不十分だと認識することです。ビジネスの成長に適したIT基盤を構築するためには、より根本的な（そして多くの場合はより長期的な）修正が必要であることを理解しなければなりません。

私たちの経験によれば、課題とチャンスは以下の3つの領域に分類されます。

1. ビジネスモデル：企業がサイバーセキュリティの危機に直面した際、対策の重要性は考慮するものの、最終的には、脆弱性が確認された部分に対して場当たり的にセキュリティパッチ（修正プログラム）を適用するだけで終わってしまうケースはしばしばあります。しかし、攻撃力の高い新たな脅威に対応するためには、「パッチの適用」といった現場レベルではなく、ビジネス全体へのインパクトを考慮した、より高レベルでの対策が必要です。
   
   私たちが知るある企業では、デジタル化に関しては大部分で現場のリーダー層に高い裁量権が与えられていました（決して珍しい事例ではありません）。この企業の地域リーダーやビジネス部門のリーダーには、デジタルパートナーを選択する、顧客やサプライヤーなどに提供するシステムやネットワークを選択する、という権限が与えられていました。
   
   あるとき、同社はある地域で軽度のサイバー攻撃を受けました。その後、同社のITリーダーは、パートナーやサプライヤーを選定するルール、条件など、リスクを軽減するためのガイドラインとベストプラクティスを全地域に提供しようとしました。ただ、提案された内容は、ITの範疇を超えていました。ITリーダーが提案した新しいアプローチは、CEOに対して会社のビジネスモデルの根幹となる部分に改善を求めるものでした。それは、デジタルの複雑性とサイバーセキュリティに対して多大な影響を及ぼす、ビジネス部門のリーダーの裁量に変更を求める内容だったのです。
   
   
2. 外部パートナー：よく見受けられるのは、エコシステムとサプライチェーンの管理に関する課題です。いずれも不透明かつ複雑で、安全に管理する対策が追いついていません。
   
   あるグローバル小売企業を例に挙げましょう。その会社に就任した新しいオペレーションディレクターは、自社の状況を「サプライヤー管理のカオス」と評し、顧客データが潜在的なリスクにさらされていることに気づいて驚いたといいます。
   
   その会社では過去に顧客や製品ラインの構成が変化したり、新規市場に参入したりすることを繰り返したため、顧客情報管理システムの運用にあたって異なる6つのベンダーが関わっていたのです。そしてそのうちの2社は過去にデータの漏洩があったため、オペレーションディレクターは対策の必要性を感じていました。
   
   そこで、最初にCEOと取締役会の意見を取り入れ、業界で最も有能で革新的な2社のベンダー（製品）に絞り、多様性とレジリエンスを両立した、信頼に足る環境を構築しました。複雑性を軽減したことで透明性が高まり、すべての関係者がサプライチェーンをサイバー攻撃から守るために自分が果たすべき役割を理解できるようになったといいます。
   
   経営幹部は、全顧客データをバックアップするシステムの導入と、顧客データへのアクセスに関する新たな制限の設定を承認しました。オペレーションディレクターは、ベンダーのセキュリティ規則を詳細に把握するという重要なポジションを設け、直属のスタッフを配しました。
   
   こうした取り組みの結果、最終的には顧客データを扱うエコシステムはより安全になりました。会社は自社と顧客情報管理システムベンダーの責任分界点を明確にすると同時に、新技術の導入により監視体制の強化を実現したといいます。私たちが知るある企業では、デジタル化に関しては大部分で現場のリーダー層に高い裁量権が与えられていました（決して珍しい事例ではありません）。この企業の地域リーダーやビジネス部門のリーダーには、デジタルパートナーを選択する、顧客やサプライヤーなどに提供するシステムやネットワークを選択する、という権限が与えられていました。
   
   
3. 内部システム：社内のプロセスとシステムのどこに複雑性とリスクが潜んでいるかを精査する必要があります。例えば、ほとんどの金融機関の決済システムには、最新のアプリケーションとレガシーアプリケーションが混在しています。多くの場合、（顧客が数日間、取引ができないような）システムの停止は、基幹となる決済システム（レガシーシステム）に起因しています。厳密に言えば、システム停止の原因は必ずしもレガシーシステムの技術的な課題ではなく、古い決済プロセスにあることが多いのです。
   
   従来、これらのプロセスは、数日の決済サイクルで取引を処理するよう構成されていました。しかし、リアルタイムでのトランザクションが要求されるようになった今日のビジネス環境では、これまで以上に複雑なワークアラウンド（エラー発生時の緊急処置プロセス）をレガシーシステムに組み込む必要があります。つまり、これまでは数日間かけて実施していた決済プロセスを、即時決済プロセスに刷新しなければならなくなったのです。
   
   このような複雑性は、大規模障害の発生だけでなく、極めて軽微な不具合であっても重大なインシデントに発展するリスクを増幅させています（注１）。そして、システムの複雑さを放置することによって発生するコストの上昇は、コスト配分のバランスを崩す可能性があります。こうしたレガシーシステムの刷新にはビジネス上の重要な決断と大規模な投資、そして「壊れていなければ修理しない」という既存の考え方を改める“意思”が求められるのです。

サイバーセキュリティの観点にとどまらず、システムをシンプルにするメリットは多々あります。しかし、それが「簡単に実現できる」というのは幻想です。ガバナンスと責任共有のフレームワークを確立すると同時に複雑性を軽減するには、長期的にも短期的にも慎重に行動することが必要です。また、シンプル化の価値を理解し、そのメリットについて「経営陣全体のマインドセットを変えるためには投資を惜しまない」というCEOや取締役会の姿勢、そして情熱も求められます。

リーダー自らが積極的に行動し、変革の方向性を示すことで、セキュアな企業の実現に向けた、より良いブループリントを描けるのです。