今回は特別編として、みずほフィナンシャルグループのセキュリティ責任者である高橋達浩氏に、同社のセキュリティ投資、人材、グローバルガバナンス、2020年以降のサイバーセキュリティロードマップ策定などについての取り組みを聞いた。(聞き手はデロイト トーマツ リスクサービス 野見山 雅史パートナー)
セキュリティ投資を
いかに経営層に納得させるか
――みずほフィナンシャルグループでは、2020年に向けたサイバーセキュリティロードマップを策定し、対策の高度化を進めています。しかし、他の企業では経営層によるセキュリティ投資の意思決定が『総論賛成、各論反対』という状況で、なかなか投資判断が得られないと聞きます。みずほフィナンシャルグループでは、どのように経営層のサポートを取り付けたのか、もしくは経営層を巻き込んで推進させていったのかを教えてください。
みずほフィナンシャルグループ
IT・システム企画部長(2018年3月までデータマネジメント部長)
高橋氏(以下省略):私たちが約4年前にサイバーセキュリティ部署としての役割を担うデータマネジメント部を立ち上げた時に、思い切って舵を切ったのが「サイバー攻撃を完全に防ぐことは不可能」であることを経営層に伝え、しっかりと理解してもらうことでした。いわゆる「事故前提」の考え方ですが、当初は一部の方から「完全に守れるようにするのが君たちの仕事だ」というような意見が出るなど、なかなか理解してもらうことができませんでした。それまでも数年にわたり、セキュリティには重点的に取り組んでいたので、経営層の理解は相応に深まってはいたのですが、それを加速するためにはさらなる説明が必要でした。
そこでまず、私たちの自己評価だけではなく、外部のフレームワークや第三者評価を活用しました。米国NIST(米国の国立標準技術研究所)のサイバーセキュリティフレームワークを元にした評価や、第三者の評価機関による評価を経営層に伝えました。当時の私たちの対策では項目によっては高度化が必要となっていたものもありましたが、結果は率直に経営層へ説明しました。
そして、会社の考え方や人材などのリソースを考慮し、リスクベースで優先順位をつけ、施策を決定しました。この際に成熟度という指標を設けて可視化しました。ただし、効果を出すためには毎年継続して評価を行い、成熟度を上げていくことが大事です。成熟度が上がれば、攻撃が何万件来ているといった、実際に起きていることを説明できるKPI、KRI*1が増えてきます。こうした情報を経営層と共有できる仕組み作りも進めています。
2点目は、経営層としっかりとしたコミュニケーションを取るということです。ここで重要なことは、丁寧な報告を心がけることです。経営層が出席する主要な会議で定期的に、目立ったインシデントなどがなくても施策の進捗状況も含めたサイバーセキュリティに関する報告を地道に行いました。その際にはストーリーを作ったり、ビジュアライズしたりと経営層に理解してもらうための工夫をしました。
ストーリーは、国内外にあった実際の攻撃事例をもとに、この攻撃が自社に来た場合の影響を説明したわけです。これを繰り返すことで、次第に経営層からサイバーセキュリティに対する理解が深まったと思います。可視化して丁寧に説明することで理解していただき、応援してくださる方が徐々に増えたという経験もしました。
3点目は、経営層に実感を持っていただくことです。例えば、経営層による記者会見が必要となるような重大な事案のシナリオで訓練を行い、セキュリティ対策の必要性を理解していただくことで、経営層から許可が下りた案件もいくつかありました。経営層への説明については、この3点に注力しました。