つながるリスクに
どう対応すべきか

　組み込み型金融の例に見られるように、企業と企業、企業と消費者、サイバー空間とフィジカル空間を、データを中心につなげることによってサービスやビジネスモデルを変革していく試みは、まさにDXそのものといえる。

　そこでは、「DXによって“つながる世界”を実現しようとするがゆえに、対応すべきリスクがこれまでとは異なります。同時に、リスクが発現した時の影響が一企業だけでなく、エコシステム全体、さらには社会へと広範囲に波及することを理解する必要があります」。企業のリスクマネジメントを長く支援してきたリッジラインズの藤本健氏は、そう指摘する。

　つまりそれは、DXとサイバーセキュリティ・トランスフォーメーションを一体的に進めなくては、変革の持続可能性を高められないことを意味する。つながることによって多様化するリスクを適切に管理するには、図表に示したような新しいアプローチが必要であり、求められるケイパビリティ（組織能力）は従来と大きく異なる。

画像を拡大

　たとえば、タイミングの観点で言えば、リスクの分析や評価をビジネス部門の要請を受けてから後追いで行うのではなく、事業の企画・構想という上流工程で行う「シフトレフト」型に変革する必要がある。

　あるいは、対策の範囲について言うなら、サイバー攻撃の侵入経路を防御するという局所的なものではなく、戦略からビジネスプロセス、組織、IT施策などDX推進のあらゆる局面を網羅し、なおかつ、その視野を外部のステークホルダーを含むバリューチェーンやエコシステム全体に広げることが欠かせない。

　これらを実現するためには、ITよりも上位の戦略・ビジネス設計のレベルで、漏れのないセキュリティ要件をリスクベースアプローチで把握できる態勢、ビジネスを深く理解し、リスク対応をビジネス部門にフィードバックできるIT部門のリテラシーといったケイパビリティが要求される。

「エコシステム全体でリスクを可視化して先んじて対策を打ち、さらにはインシデントの発生を前提としてレジリエンスを向上させるには、テクノロジーやデータを活用して、マネジメントやオペレーションの自動化、高度化を図り、リスク管理レベルを上げていくことも不可欠です」（藤本氏）

　リッジラインズでは実際に、大手金融機関においてDXとサイバーセキュリティ・トランスフォーメーションを一体的に進めるプロジェクトを支援している。

「戦略デザインからフロントでのシステム実装まで一貫して支援できるのが当社の強みであり、それぞれの業界に通じたエキスパートたちがエコシステム全体を俯瞰しながら、サポートすることもできます。今後も企業の攻めのDXを、リスクマネジメント変革の面からもしっかりと支え、日本の未来に向けた変革に力を尽くします」。隈本氏はそう決意を述べた。