IBMは「個客価値の共創―グローバル経営層スタディーからの洞察―」の中から、特にCISO(Chief Information Security Officer:最高情報セキュリティー責任者)に関するリポートをまとめ、「CISO Assessment」として2014年12月に公表した。約150人のグローバル企業のCISOへのインタビューを基にした調査の結果、CISOは最高情報セキュリティー責任者としてITの技術力をもって企業の情報を守る立場から、ビジネスの観点からもセキュリティーのリーダーシップを果たす必要があると考えていることが分かった。東京海上日動システムズの代表取締役社長であり、CISOを兼ねる宇野直樹氏に、日本企業における情報セキュリティーへの取り組み方、考え方の変化や注力している分野について、日本IBM執行役員(ITSデリバリー担当)の千田朋介氏が詳しく聞いた。

外部からの脅威の巧妙化、内部の脅威を追求する難しさ

―― 企業の情報漏えいに関するニュースは尽きることがありません。今は、サイバースペースでテロや紛争が勃発しているといわれるほど、さまざまな攻撃や脅威に企業がさらされている時代です。攻撃や脅威は必ずしも外部からだけではなく、内部からのものも多々あります。最近の情報セキュリティーの動向について、お考えになっていることをお聞かせください。

東京海上日動システムズ 取締役社長 宇野直樹 氏

東京海上日動システムズ
取締役社長 宇野直樹 氏

宇野直樹氏 東京海上日動システムズ(以下、宇野氏)
私は東京海上日動で情報セキュリティーに関する取り組みを担当していました。東京海上日動システムズでは社長を務めながら、CISOを兼ねています。東京海上日動は2000年代半ばからの10年で大がかりな業務改革を行ってきましたが、同じ時期に企業の情報セキュリティーに対する環境と考えも大きく様変わりしたと思います。
情報セキュリティーにおける脅威は、以前は内部からのものが多かったと思います。多くの金融機関では、従業員のシステム上での振る舞いを分析・検知する監視強化に注力していた時期がありました。
しかし、現在では外部からの脅威が見逃せないレベルに高まっています。特に電子メールを使った個人を特定して狙う標的型攻撃、ドメイン名ハイジャック(ドメイン名乗っ取り)が急増しており、巧妙化しています。
東京海上日動システムズも標的型攻撃メールの訓練を行っていますが、さまざまな攻撃パターンがあり事前対策が行き届かず、後手に回る可能性があると認識しています。

千田朋介氏 日本IBM(以下、千田氏)
私はグローバル・テクノロジー・サービス事業本部でお客様に情報セキュリティーのためのソリューションをお届けするITSデリバリーを担当していますが、合わせて日本IBMのCISOである下野雅承をIBM社内の情報セキュリティーに関する業務で直接サポートする、CISOオフィスも担当しております。
IBMでも情報セキュリティーに関する脅威の質が変化していることに対応して、体制、制度、教育の仕組みをつくり、また向上させる努力を継続的に行っています。
標的型攻撃メールの訓練では、CISOオフィスの長である私に対しても部下が訓練用の標的型攻撃メールを送付し、引っかからないかどうかを試すということなども行っています。

プリンシプルベースでルールをシンプル化する効用

―― 東京海上日動システムズは、日本CISO協会が主催する優れた情報セキュリティーの取り組みを行う企業を表彰するCISO 10 Award「CISO of the Year No.1 Award」を受賞されました。
多くの優れた取り組みを進めるなか、ガバナンスの考え方を大きく変えたと伺っています。

CISO 10 Award「CISO of the Year No.1 Award」を受賞

宇野氏
東京海上日動システムズは業務を効率的、効果的に行うために、東京海上グループの内部統制フレームワークに統合されたガバナンス・リスク管理・コンプライアンス(GRC)態勢を構築しています。一般的に内部統制管理は受動的ですが、GRC態勢は能動的なものです。

東京海上日動システムズはGRC態勢によって、16の内部統制領域を定義し、その中で「情報セキュリティー管理」を中心的領域として位置づけています。

東京海上日動システムズの内部統制

出典:CISO 10 Award 2014受賞資料 東京海上日動システムズ(株)

一般的に情報セキュリティーはルールが多くなり、取り締まり型になりがちです。本来、情報セキュリティーの規程は、社員が生き生きとスピード感を持って業務遂行するために活用されなければなりません。
そのために、2つの工夫を施しました。

1つめの工夫は「情報セキュリティールールの最適化とシンプル化」です。
指示命令形ではたくさんのルールができます。特に金融機関ではトラブルが起こるとその度にルールができ、それらが数多く積み重なります。すると、何のためのルールなのかわからなくなり、ルールを守ることが目的となりがりです。本来、情報セキュリティーの取り組みに望まれるのは一人ひとりが趣旨を理解し、自ら判断して動けるようになることです。

そこで徹底的なルールの見直しを実施しました。リスク1つにつき、1つのルールとすること、これによって15規程318ルールあったものが、3規程78ルールに最適化・シンプル化されました。この数になると社員自身がその趣旨を主体的に理解し守れるようになります。
ルールの最適化・シンプル化はプリンシプルベースで行いました。プリンシプルベースとは箸の上げ下ろしのようなルールを積み重ねるのではなく、意味を整理して集約することです。これによって、ルールの背景にある「なぜ」を理解できるようになり、自分の業務に自発的に適用する思考になります。
ルールを減らすことで結果的にルールを守りながら、お客さまへの価値提供により注力できるようになりました。

情報セキュリティルールの最適化、シンプル化

出典:CISO 10 Award 2014受賞資料 東京海上日動システムズ(株)

千田氏
IBMは倫理規定、ビジネスコンダクトガイドラインを定めています。IBMの社員はビジネスコンダクトガイドラインに年に1度サインして、必ず守ることを宣言しなければなりません。そして、それを基盤として標準やガイドがつくられています。

この中の1つに情報セキュリティーの遵守があり、インシデントを絶対に発生させないことを1年の最初の目標として設定し、評価に連動させることで社員に意識づけをします。
また、各事業部門の代表が集まる情報セキュリティー委員会が設置されています。委員長はCISOで、方針を作り、ルールを守ることを徹底させます。セキュリティー委員が自分の所属する事業部門に展開、運用していきます。
活用しているのはお客様に提供しているものと同じソリューションやサービスです。

宇野氏
東京海上日動では2004年以降、業務の「抜本改革」を進めました。その結果、ビジネスプロセスもシステムもシンプルにでき、その結果、業務はスムーズになるはずでした。しかし、現場の声を聞くと、事務作業は確かに楽になったが何かの問題が起こった時の報告の手間は変わりがなく、ますます負担感が高まっていたのです。
そこで、なにが負担になっているのかを調査し、ルールを整理しました。これには1年も要しましたが、この時に経験したルールをシンプルにすることの効用は今回の取り組みにも生かされています。

日本IBM  グローバル・テクノロジー・サービス事業本部 ITSデリバリー担当 執行役員  千田朋介 氏

日本IBM
グローバル・テクノロジー・サービス事業本部
ITSデリバリー担当 執行役員  千田朋介 氏

千田氏
ビジネスのプロセスを変更した後で、現場からノーと言われることはシステムに限らず、いろいろなシーンであることだと思います。しかし、その解決をシンプル化に求められた着眼点は素晴らしいと思います。
情報セキュリティーはここまでで十分ということがないもので、年々新しい脅威が現れるために、対策する側も常に継続した取り組みをしていかなければなりません。情報セキュリティーについて何を重視し、次に何に取り組むのかについてはどのように決定しているのでしょうか。

宇野氏
それが2つめの工夫で「管理態勢の確立」になります。
情報セキュリティーについて今、何を重点項目とするのかについては、役員全員で論議をする取締役会の経営計画で決定し、その決定事項をチェックする枠組みとしてGRC態勢が機能しています。GRC委員会はセキュリティー、リスク管理、コンプライアンスに関する検討項目や方針を一本化してまとめますが、決定は取締役全員がプロセスに参加しており、全員が何をどこまでやればいいのを理解しています。

情報セキュリティ管理体制

出典:CISO 10 Award 2014受賞資料 東京海上日動システムズ(株)

―― 大きな悩みの1つに、インシデントが起こった場合にどこから手をつけたらいいのかわからないという状態に陥ることがあります。東京海上日動システムズはインシデントへの対応について、どのように取り組んでいるのでしょうか。

宇野氏
私たちはインシデント関連情報、脆弱性情報、攻撃予兆情報を収集、分析し、対応方針や手順の策定などの活動を行う、CSIRT(Computer Security Incident Response Team、シーサート)という取り組みを社内で行っており、日本コンピュータセキュリティインシデント対応チーム協議会(Nippon CSIRT Association)に参加しています。
また、2011年9月に始まったサイバー攻撃の被害拡大防止のためにつくられた、サイバー情報共有イニシアティブ(J-CSIP)には結成当初からメンバーとして参画しています。
CSIRTやJUAS(日本情報システム・ユーザー協会)の集まりに複数の人材を継続的に参画させることで、情報セキュリティーに関する取り組みや脆弱性に関する情報を得て、判断の基軸を鍛え、社内やグループ内で妥当なバランス感覚をつくれるように努力しています。

千田氏
IBMは情報セキュリティーに関するさまざまなソリューションや情報をお客様に提供していますが、IBM社内においても同様のソリューションを使って脅威検知を行っており、何かインシデントがあった場合は、情報セキュリティー委員会の中で、事例を報告し、同じようなことが繰り返されないように全体に共有していく形になっています。
現在、東京海上日動システムズでは、弊社の監視サービスをご利用いただき、検知された脅威情報も都度ご報告させていただいていますが、お役にたっておりますでしょうか。

宇野氏
ユーザー企業で専門人材を育成・維持し続けることには限界があると思っています。外部のエキスパートの知見もあわせて体制を作っていくことが重要だと考えています。当社のCSIRT人材は、外部のエキスパートの意見などを勘案して、東京海上グループとして過不足のない対応を判断していくことをミッションとしています。

千田氏
IBMは最新のテクノロジーを活用して、世界中でモニタリングをしており、そこで集められた知見をもとに、インシデントが起こることを防ぐお手伝いを世界各国の多くのお客様に対して行っています。
また、あわせて、お客様の企業内でのセキュリティー体制構築、強化のためのCSIRTの取り組みについての教育や支援サービスにも取り組んでいます。

情報セキュリティーの評価の仕組み、投資の考え方

―― 情報セキュリティーについては、どこまで投資すればいいのか、何をもって成功したといえるのかという点で悩む企業が多いと思います。東京海上日動システムズは情報セキュリティーの取り組みの評価軸については、どのようにお考えでしょうか。
CISOの立場から、どのように投資判断を行っているのかについて、教えてください。

宇野氏
私たちも2011年9月頃の経営会議では「完璧な情報セキュリティー態勢を作るには、いくら投資すればいいのか」という議論が起こっていました。東京海上日動システムズには、情報セキュリティーに関する投資を抑制するような問題はありません。むしろ、いくらかけると完璧にできるのかという議論が起こっているほうが問題でした。
当時、担当役員の私はこれで完璧だという情報セキュリティー対策はなく、今考えられる最も合理的で必要十分なレベルの対策を打ち続けることが大事と説得しました。

現在はPDCAサイクルをまわし、GRC態勢の枠組みでモニタリングできるようになっており、データに基づいた評価を毎月行い報告書が出てきます。しかし、この報告はすでに対策を実施している内容についてのものです。
将来、取り組まなければならない対策については、何をもって評価、採用するのかというのは継続的な課題です。

特に、東京海上日動システムズは東京海上日動のIT子会社であり、人材が肝です。今後、情報セキュリティーに見識のあるリーダーとなる人材に育ってほしいと考えており、目標をはっきりと定め、活動した内容を把握していくことが大事だと思っています。
社内で委員会を立ち上げたり、社外を含めたイニシアチブをとっていける人材の育成が重要であると考え、今後の情報セキュリティーについての投資を考えています。

千田氏
現場の意識を高め権限委譲を進め、リーダーとして部門を率いて、情報セキュリティーについてもガバナンスを効かせる役割を担っていく人材を育てていくことは非常に重要な取り組みです。
しかし、現場に権限を委譲するのは、個々人の意識に関わる部分があるため、一定のレベルを保っていくことが難しいところがあります。
IBMが世界各国のCISOの活動を調査し、まとめて発表しているCISOリポートでも、リーダーシップスキルの拡大が最重要視されています。また、外部の団体とのさらなる協議の確認も重視されており、まさに、宇野社長の考えと一致しています。

IBM

出典:IBM CISO レポート

ビジネスプロセスの変革を推進するためのCISOの役割

―― 東京海上日動システムズでは、宇野社長がCEOとCISOを兼務されています。これはあえて、兼務するという判断をされてのことでしょうか。

宇野氏
今、ITはソーシャル、クラウド、モバイル、アナリティクスが活用される第三世代と言われています。ホストコンピュータ時代の第一世代、クライアント・サーバーの第二世代は、業務効率化のためのITだったわけですが、第三世代で初めて顧客接点がITになったと考えています。
東京海上日動システムズは、2012年に代理店システムの次世代モデルとして、タブレットとクラウドを組み合わせ、契約やシミュレーションを行う仕組みを開発し、稼働させました。私たちにとっては顧客接点が初めてIT化されたことになり、ビジネスプロセスとITが完全に一体となりました。
その時、私はこのビジネスプロセスとITが一体となった時代にCEOとCISOを分けることは極めて難しいと判断しました。
IT進展のメリットはビジネスプロセスの変革が実現できることです。デメリットは情報セキュリティーの不安です。これは表裏一体であり、顧客接点を含めたビジネスプロセスの変革を推進するCEOが、情報セキュリティーをまったく別のこととして誰かに任せることはできないのではないかと、2012年に痛感し、私はCEOとCISOを兼ねることを決断しました。

千田氏
日本IBMでは下野が取締役副社長執行役員グローバル・テクノロジー・サービス事業本部長とCISOを兼任しています。下野は日本IBMの社長に対して、状況をわかりやすく伝えなければなりません。
実は、2014年の前半は私がCISOを務めておりました。しかし、CISOはもっと経営層の中心に存在しているべきだという意見で、下野と私が一致し、下野がCISOになりました。私は情報収集や仕組みづくり、情報セキュリティー委員会の運営などを行うCISOオフィスを担当し、IBMがお客様に届けるソリューションに近い場所で業務を行っています。

顧客接点がIT化することで、これまでにない企業価値の向上が実現できるようになってきていますが、その分、情報セキュリティーもしっかりと捉えていかなければならない。そうした環境の中で、CISOの役割はより経営の中心に位置づけられるようになると考えています。

ITのセキュリティーではなく、
ビジネスの価値を高めるためのセキュリティー

―― 東京海上日動システムズではGRC態勢の中で、情報セキュリティーはビジネスの価値を創出するとして位置づけられています。これまでの取り組みで実際に企業価値を高めた例があれば、ぜひお聞かせください。

宇野氏
先に説明をした、2012年に導入した代理店システムの次世代モデルは、タブレットとクラウドの組み合わせで構築されています。これは、代理店が行う契約業務のすべてをタブレットで完結させる仕組みです。アプリケーションはすべてHTML5によって開発されており、タブレットには重要なお客様データは一切存在していません。したがって、タブレットを紛失したり盗難にあっても、情報が外部に流出することはありません。
それまでは、代理店は持ち出した情報が紛失や盗難にあった場合、当局への届け出や新聞公告などが必要な重大事故扱いになることを懸念して、パソコンなどの情報機器を社外に持ち出すという習慣がありませんでした。
しかし、私たちが開発した代理店システムの次世代モデルは、その点の心配がなくなり、代理店の方々がモバイルデバイスを持ち歩いてお客様先で営業活動をするという、新しいビジネスプロセスが実現したのです。すでに100万件以上の契約が新しいプロセスで実施されており、新しい価値が産まれています。

千田氏
CISOリポートでは、CISOが情報セキュリティーに関するテクノロジーの進化だけではなく、ビジネスプロセスの変革を進めるために情報セキュリティーをいかに考えていくのかということを、非常に重要と捉えています。
まさに、宇野社長のような意識をもったCISOが多くなってきている証左だと思います。

CISOが最も警戒しなければいけないのは
「人とテクノロジーの関係」

―― 宇野社長はCISOという立場を、前職、そして現在と長年にわたって務めてこられました。CISOが最も気をつけなければいけないポイントについて教えてください。

宇野氏
私たちの業界は一口に金融機関と呼ばれますが、銀行と保険会社では情報セキュリティーで規定するリスクの内容が大きく異なります。生命保険会社と損害保険会社でも守るべき情報やリスクレベルの設定はかなり違います。他の業種業態ではもっと大きな違いがあると思います。
しかし、1つだけ共通点があります。それは、ITが指数関数的にスピードを増していくということです。人が意識できるのは、昨日の次に今日があるというようなリニアな認識であり、ITの極端な進化スピードにはついていけないのです。
したがって「最も大きなリスクは何か?」という質問の答えは「人」になります。どんな業界や業種のCISOでも最も気をつけなければならないのは、「人」のセキュリティー意識をいかに高めるかだと思います。

千田氏
ご指摘の通り、テクノロジーはほんとうに早いスピードで進化します。そして、進化するテクノロジーを使いこなしながら攻撃する側、防御する側がせめぎ合う、イタチごっこのような世界になっています。
IBMはお客様に情報セキュリティーに関するソリューションやサービスを提供する立場であり、新しく登場するリスクを早く明らかにし、対策を進めていかなければなりません。そうすることが、悩みを抱えるさまざまなCISOを支援することにつながると考えています。

宇野氏
情報セキュリティーには「もうこれで十分だ」という線引きができません。ぜひ、継続してテクノロジーの進歩に合わせた対策が可能になるよう、ご協力頂きたいと思います。

CISOレポート:CISO Assesment 2014

▲ページ上部へ