{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
MS&ADグループ一本木CDO・CIO・CISOに聞く「DX推進に必要なセキュリティ対策」
2021-10-05
金融機関は近年、サイバー攻撃の主要ターゲットの1つになっています。海外ではランサムウェアやDDoS攻撃で、一時的に取引停止を余儀なくされた被害も報告されています。高度化・複雑化するサイバー脅威に対し、MS&ADグループはどのような対策を講じているのでしょうか。本稿ではその取り組みについて、MS&ADインシュアランス グループ ホールディングスの執行役員でグループCIO(最高情報責任者)とCDO(最高デジタル責任者)、そしてCISO(最高情報セキュリティ責任者)を兼務されている一本木真史氏にお話を伺いました。(本文敬称略)
鼎談者
MS&ADインシュアランス グループ ホールディングス株式会社 執行役員兼グループCDO兼グループCIO兼グループCISO
一本木 真史氏
PwCあらた有限責任監査法人 パートナー/PwC Japanグループ 保険インダストリーリーダー
宇塚 公一
PwCあらた有限責任監査法人 パートナー/PwC Japanグループ Cyber Security Co-Leader
綾部 泰二
(左から) 綾部 泰二、一本木 真史氏、宇塚 公一
CISOは「ブレーキ」ではなく「ガードレール」
宇塚:
一本木さんはMS&ADグループのCIOとCDO、そしてCISOを兼務されていらっしゃいます。一般的にCIOやCDOはデジタルイノベーションを推進する「アクセルを踏む立場」であると言われています。翻ってCISOはあらゆるリスクを想定し、ときに前のめりになりがちなイノベーション担当者に対して「ブレーキを踏む立場」を担っています。これらの役職を兼任されるうえで、そのバランスをどのように捉えていらっしゃいますか。
一本木:
CIOとCDO、そしてCISOに任命されたとき、3つの任務を自分の中でどのように整理すべきか考えました。ご指摘のとおり、CIO/CDOとCISOは、「アクセルとブレーキ」の関係だと言われていますが、この考え方では自分の中で整理がつきませんでした。熟考の末、出した答えは「CISOとはブレーキではなくガードレールである」という捉え方でした。
もちろんCISOがブレーキ的な役割を果たすことは否定しません。ただし、私はCISOとしてやるべきことは、「目的地に行くことを止める」のではなく、「目的地まで安全に到達するために、その道程をガードレールで守る」ことだと考えています。
宇塚:
「危ないから行かせない」ではなく「危ない道でも事故を起こさないように守る」ことがCISOの役割とのお考えですね。とても重要な視点だと思います。CISOとしての守りの役割について、さらにお話をお伺いできればと思います。
サイバー攻撃について、現状の課題認識とその対策を教えていただけますか。
一本木:
外部からのサイバー脅威については「100%の防御は不可能」という前提のもと、日々刻々と変化する状況にアンテナを張りつつ、技術的対策と人的・組織的対策の両面から取り組んでいます。リスクを正しく把握し、的確な戦略を立案するためには、グループ全社でこの認識を共有することが非常に重要だと考えます。
具体的な取り組みを紹介しましょう。潜在的な脅威の把握は、私たちのようなユーザー企業が自力で調査するには限界があります。ですので、複数の外部セキュリティ専門会社が提供している脅威インテリジェンスサービスを活用し、“複数の目”でサーフェスウェブやダークウェブ上での脅威情報に目を光らせています。
また、セキュリティ専門会社の協力のもと、脅威ベースの侵入テスト(Threat Led Penetration Test:TLPT)やセキュリティアセスメントも実施しています。プロアクティブに脅威を把握し、同時に攻撃に備える取り組みは、大変有意義だと考えています。
綾部:
現在は「サイバー攻撃者のほうが圧倒的に有利」だと言われています。そのような状況の中で積極的にセキュリティインテリジェンスを収集し、先手で対策を講じる姿勢はとてもすばらしいです。
一本木:
ありがとうございます。CISOとしてサイバー脅威と対峙して痛感しているのは、あらゆる攻撃を想定し、能動的に対策を講じる重要性です。例えば、これまでのサイバー攻撃対策は、内部システムと外部ネットワーク(インターネット)の出入り口の境界線を守るという、いわゆる「境界防御」が中心であり、私たちも対策を強化してきました。この領域では、一定の水準まで達成できていると考えています。
一方、「100%の防御は不可能」という前提のもと、万が一、攻撃者が侵入した場合には、侵入状況を迅速に検知し、その被害を最小限に封じ込むという観点から、各種検知・防御の仕組みを強化しています。あわせて、内部システムのセキュリティ強化を進めることで、内部侵入後のマルウェア拡散を極小化する対策も進めています。
綾部:
これまでは「社内ネットワークは安全で、社外ネットワークは危険」という考えのもと、ファイアウォールなどで外部ネットワークから社内ネットワークを守る「境界防御」対策が一般的でした。しかし、クラウドコンピューティングの利用増加やSaaS(Software as a Service)の浸透に伴い、「境界防御には限界がある」と指摘されています。MS&ADグループはそれを見越して「境界防御」から「迅速な検知と素早い封じ込め」に対策の軸足を移しているのですね。
MS&ADインシュアランス グループ ホールディングス株式会社 執行役員兼グループCDO兼グループCIO兼グループCISO 一本木 真史氏
PwCあらた有限責任監査法人 パートナー/PwC Japanグループ 保険インダストリーリーダー 宇塚 公一
「いざ」というときに備えて平時の訓練を怠らない
綾部:
近年は特定の役職や人物をターゲットにした標的型メール攻撃が巧妙化し、多くの被害が報告されています。どんなに堅牢なセキュリティソリューションを導入しても、利用する人のセキュリティ意識が低ければ、そこが「セキュリティホール」になると指摘されています。人的な対策について教えてください。
一本木:
私たちも人的対策には注力しており、従業員に対する標的型メール訓練を繰り返し実施しています。また、サイバー攻撃に遭った場合を想定し、セキュリティ部門やシステム部門だけでなく、広報部門や危機管理部門、さらにビジネス部門が参加する対応演習も毎年実施しています。
サイバーインシデントは突然発生しますから、日頃から訓練を行い、円滑かつ迅速な対応ができるかを確認しています。さらに最近では、危機対応模擬訓練として、模擬記者会見も実施しています。実際、私も本番さながらの危機対応説明会見にCISOとして矢面に立ったのですが、大変勉強になりました。
宇塚:
2019年に金融庁が公開した「金融分野のサイバーセキュリティレポート」によると、国内金融機関のサイバーインシデントは、リスト型攻撃や設定ミスなどに起因したものが多いとあります。「設定ミス」はいわば人的リスクですよね。金融業界と保険業界は若干異なりますが、現在、人的リスクで懸念されていることはありますか。
一本木:
「懸念」があればすぐに対策を講じて、払拭するように努めています。ただし、現時点でその懸念を1つ挙げるとすれば、「リモートワーク時の従業員のケア」です。リモートワーク中の従業員のPC環境は、社内ネットワークと同様のセキュリティ環境を提供していますから、技術的な懸念はありません。
しかし、「長期にわたって自宅作業する」ことに不安を感じている従業員もいるはずです。わからないことを隣席の人に教えてもらったり、判断に迷ったことを先輩に相談したりといった「日常的なコミュニケーション」は激減しています。その影響が社員の働き方やモチベーションに対してどのように作用するのかは注視していかなくてはなりません。
データサプライチェーン対策は「リスクの量」を考慮する
綾部:
次にデータサプライチェーンのサイバーリスク対策についてお聞かせください。MS&ADグループは5つの国内保険会社と9つの関連事業会社をお持ちです。また、海外にも複数の拠点を擁しています。そうした環境では、どのようなデータサプライチェーン対策を講じているのでしょうか。
一本木:
サプライチェーンリスク対策は、私たちが特に力を入れている領域です。メーカーと異なり保険業界には「仕入れ先」という概念がありません。しかし、多くの業務委託先や代理店が存在しています。私たちにとってはこうした企業がサプライチェーンです。また、関連会社や海外拠点もサプライチェーンの1つとして考えています。
これらサプライチェーンに対し、私たちが直接セキュリティ対策を実装することは難しい。ですから、基本的には「いかにセキュリティガバナンスを効かせるか」という観点で対策を講じています。
私たちは数年かけて委託先、代理店、関連会社、海外拠点に対するセキュリティガバナンスの枠組みを整備・強化してきました。サプライチェーンの構成要素である委託先、代理店、関連会社、海外拠点におけるサイバーリスクはそれぞれ異なることから、リスクベースアプローチによるマネジメントの確立を進めています。現在は関連会社や海外拠点に対し、固有リスクの評価を行い、当該固有リスクに対する対策の実施状況から把握された残余リスクをいかにマネジメントするかという考え方をもとにサイバーリスクをマネジメントしています。
綾部:
つまり、「これは最低限なので整備をしてください」と一律依頼する部分と、委託先、代理店、関連会社、海外拠点の規模や取引状況などを考慮して「ここまで整備してください」と依頼する部分に分けてアプローチを執られているのですね。
一本木:
はい。今まではガイドラインなどを策定し、さまざまな形でセキュリティ対策をお願いしてきました。しかし、その中には非常に高度な対策も網羅されていました。こうした対策を全てのサプライヤーや拠点に対して、一律に求めるのは現実的ではないと考えます。当然ながら業種や業態、そして組織の規模によってリスクの“量”は異なります。ですから、その“量”に応じて対策を講じるという「リスクベースの対策」に舵を切ろうと考えています。
PwCあらた有限責任監査法人 パートナー/PwC Japanグループ Cyber Security Co-Leader 綾部 泰二
データマネジメントはお客さま目線で
宇塚:
最後に、外部委託先に対するデータマネジメントについて教えてください。MS&ADグループは中期経営計画「Vision 2021」で、「デジタルトランスフォーメーション(DX)」「デジタルイノベーション(DI)」「デジタルグローバリゼーション(DG)」を3本の柱とした強固なデジタル戦略を打ち出しています。こうした施策を推進するには、異業種とコラボレーションする機会が多くなると拝察します。データマネジメントではどのような点に留意していらっしゃいますか。
一本木:
デジタル戦略を推進していくうえでは、多種多様なデータを収集し、分析、活用していくことが求められます。ご指摘のとおり、私たちはこれまでにない形での他業態との連携を進めているところです。また、海外にも積極的に投資をし、データを活用した新規ビジネスの創造やお客さまの体験価値向上につながる取り組みも進めています。
そのような状況において、「データマネジメント」はデジタル戦略の土台となるものです。外部委託先におけるデータの取り扱いが社会問題となっている昨今、私たちはデータの取り扱いに細心の注意を払っています。改正個人情報保護法をはじめとする法令の順守は当然のこととして、より消費者やお客さまの目線に立った対応が必要です。現在はお客さまに安心してサービスを利用していただけるような体制整備の構築に努めています。
データガバナンス、サプライチェーンガバナンスの重要性が飛躍的に高まる現在においては、今まで以上に高度で効率的なセキュリティガバナンスが必要であり、対策を強化していきたいと考えています。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
