―新興技術に対する基本姿勢とガバナンス
まず、AIなどの新興技術をビジネスプロセスに導入する企業の望ましい基本姿勢を取り上げました。新興技術については、事業戦略への落とし込みとそれにひも付くリスクに関して、同時に検討することが重要です。また、これまでは単独で検討される傾向が強かったサイバーセキュリティを、事業戦略に即したリスク戦略の中に位置付けることがポイントになります。それにより企業の全社員からのセキュリティに関するルールの目的について理解や共感が得られ、結果的にルールを順守しない事例が減り、脆弱性の改善にもつながると言及がありました。
新興技術に係るガバナンスに関しては、新興技術を利用して行われるサービス・ビジネスのプロセスを把握することの重要性が論じられました。つまり、関係者(委託先含む)やその関与内容などを理解し、守るべきものが何かを特定した上で、優先順位を付けて対応することが肝要です。また、新興技術はブラックボックスであることが多いため、リスクを認識する際にはヒューマンインターフェイスの部分だけではなく、技術そのものの(アルゴリズム)を理解できる人が必要である点や、リスクマネジメントは過去の事故から学ぶことが一般的だが、新興技術は過去に事例がないものを想定しなければならない難しさがある点も示されました。
グローバル企業において海外子会社のデータを日本国内で管理した場合の、データの越境移転に関する留意点も取り上げました。欧州の一般データ保護規則(GDPR)をはじめ、各国で異なる規制の網羅的な把握や、データ越境移転を踏まえた契約締結時の配慮など、国際的な法務の知識が求められるため、優先順位を付けて専門家と協議していくことが重要だと言及がありました。
―リスクの可視化と新興技術における継続的な対応
続いて話題は、ソフトウェアサプライチェーンを踏まえた対策に移りました。ソフトウェアサプライチェーンにおけるセキュリティを考える際、重要なポイントとして「SBOM(Software Bill of Material:ソフトウェア部品表)などのリスクを可視化」「可視化により明示されたリスクを評価する仕組みの構築」などが挙げられます。リスク評価の仕組み構築は非常に難易度が高い取り組みとなるため、専門家を活用することも一案であるという声も上がりました。また、サプライチェーンに関与する委託先に明確な選定基準を設け、契約条項に落とし込んでおくことがある種の証拠になるため、セキュリティ上のリスクヘッジの観点でも重要な取り組みになります。
第2部の最後は、新興技術のビジネス適用を継続的に取り組む際の留意事項を取り扱いました。新興技術をビジネスに適用するには、企業内の部署間で相互理解を深めることが重要との意見がありました。リスク管理部門や法務部門はサービス内容や技術的視点を、技術者は法務的視点をそれぞれ持ち合わせることで、リスクの本質が見えやすくなります。また、経営者主導の下、セキュリティー・バイ・デザインなどに代表されるプロダクト開発の早期から法務やセキュリティの議論を進める取り組みなどの対策が有効です。このようなさまざまな取り組みに関する意見交換が行われました。
本ウェビナーをご視聴いただいた皆さまから、「各フィールドの専門家による具体的な事例が大変参考になった」「サイバーセキュリティのキーポイント、注意点、落とし穴などの情報を知ることができて有意義だった」など、たくさんのコメントをいただいています。
本稿では、議論で聞かれた意見を中心に概要のみを紹介していますので、サイバーセキュリティの「今」が分かる本ウェビナーのアーカイブをぜひご視聴ください。配信は2024年5月31日までとなっています。以下のページからお申し込みください。
お申し込みページ:Digital Trust Webinar <Cyber Security> 複雑化するサイバーセキュリティ対応 ~危機管理と新興技術等への備え~
今回のウェビナーが、サイバーセキュリティへの最新の見解や、具体的なサイバーインシデントへの対応策の知見を深める機会となれば幸いです。
