継続的・戦略的なサイバーセキュリティ強化のアプローチ(2)
■業務機能を俯瞰したサイバーセキュリティ強化ポイントの導出
リスクシナリオが定義できたうえで、次に具体的なサイバーセキュリティ強化のポイントを導出する。このとき意識すべきはビジネス全体を俯瞰する網羅性と一貫性である。
したがって、根拠なく個別業務のなかにディープダイブした業務フローを描くような行いではなく、図のように自社のビジネスを俯瞰したマップと、リスクシナリオを結びつけセキュリティ視点の脆弱性を色づけするアプローチを取る。赤い線はある事業におけるクリティカルな業務機能のつながりを示しており、そのなかでどの箇所にリスクシナリオが存在するのかを可視化していく。
また同時にそれらのリスクがセキュリティについてのガバナンス・マネジメント・オペレーションのどのレイヤーに起因しているかを特定していく。このような分析整理マップを作製したうえで、リスクのつながり、業務の前後関係を考慮し、最も投資対効果の大きい箇所にセキュリティ対策のストーリー(=サイバーセキュリティ投資のロードマップ)を作成する。
出所:アクセンチュア
事業全体とサイバーリスクをこのようなフレームワークのなかで俯瞰的に整理することで、サイバーセキュリティ単体ではなく事業の強化方針と連携したロードマップが作成できる。また業務機能のつながりを意識して整理を行うため、優先度の低い業務に対するセキュリティ施策の導入や施策の重複も排除することができる。事業や業務機能間で個別に考えるサイバーセキュリティ対策と共通化すべきサイバーセキュリティ対策を区別し、投資の見直しを行うことも可能になる。
まとめ
●デジタル時代においては、継続的に変化するビジネスモデルやテクノロジー環境に対し、サイバーセキュリティ能力の随時適応が求められる。
●そのためには、継続的・戦略的にサイバーセキュリティを企画するアプローチを根本からつくり直す必要がある。
アクセンチュア 戦略コンサルティング本部 サプライチェーン、オペレーションズ&サステナビリティ戦略グループ日本統括 マネジング・ディレクター
アクセンチュア入社後、テクノロジー部門を経て現職。製造業・ハイテクなど複数産業、また国内外でのサプライチェーン企画・設計を多数歴任。サプライチェーン以外にも生産、調達、R&DなどCOOのアジェンダを広くカバーする経験を有し、ビジネスモデル変革からそれに応じた機能設計までを一貫整合して実施するスタイルで定評を得ている。
アクセンチュア 戦略コンサルティング本部 サプライチェーン、オペレーションズ&サステナビリティ戦略グループ マネジング・ディレクター
通信・ハイテク・エネルギー・小売等の多くの産業においてコンサルティングに従事。サイバーセキュリティ領域にでは、企業のセキュリティ戦略立案、ガバナンス・リスクコントロール態勢の見直し、企業統合時のセキュリティ方針策定等、経営観点から見たセキュリティ強化について多くの経験を有する。
アクセンチュア 戦略コンサルティング本部 サプライチェーン、オペレーションズ&サステナビリティ戦略グループ シニア・マネジャー(サイバーセキュリティ戦略チームリーダー)
大手コンサルティングファームを経てアクセンチュア入社。サイバーセキュリティ領域を専門に、重要インフラ企業をはじめ、多数の産業におけるサイバーセキュリティ戦略立案、リスクマネジメント体制強化等の業務を歴任。CISOのアジェンダを広くカバーする一方、先進技術対策やSOC構築まで、サイバーセキュリティ全体を一貫整合した経験を有する。
