Focal Point

“Data Is the New Oil”というなら、
どのように守るべきか?

 

データセキュリティーリスクの高まり

個客データをはじめとしたデータの高度活用によって収益化を図る「データマネタイズ」が注目される中、メディアやネット上では“データは新しい石油”との表現も見られます。確かに、利益創出のポテンシャルの高さという面では似ているかもしれません。しかし、データは物理的な石油田とは異なり、おいしいものを吸い取る蚊のように、気付かないうちに価値あるデータを取られるリスクを秘めており、データセキュリティーリスクへの対策は極めて重大かつ深刻な課題となっています。

私は昨年、日本タタ・コンサルタンシー・サービシズ(日本TCS)のチーフデリバリーオフィサーに任命され、現在、日本TCSにおけるデリバリー全体の責任を持ち、さらなるハイブリッドモデルの成長とソリューショニングの充実を推進しています。本稿では、タタコンサルタンシーサービシズ(TCS)におけるサイバーセキュリティー分野のグローバルヘッドとして、多くのグローバル企業のコンサルティングを手掛ける中で培ってきた知識や経験を基に、データ活用に潜むセキュリティーリスクと、そのリスクをいかにして軽減できるかについて解説します。

近年、さまざまなビジネスにおいてデジタライゼーションが進展し、実空間とサイバー空間の融合がますます進む中、サイバーセキュリティーに関するリスクは急激に高まっています。中でも、多くのレガシーシステムが存在する中、企業が社内のシステムに収集・蓄積した膨大なデータの流出・漏えいなどに対するリスクは深刻です。国境を越えた当局の規制への対応等、顧客の個人情報などを含んだデータの流出・漏えいは、顧客にとってだけでなく、データを収集・活用する企業にとっても大きなリスクとなります。

例えば、企業がWebサイトやSNSなどに展開した「Cookie」を通じて取得する、消費者のサイト閲覧履歴などのデータは、マーケティングやセールス、さらには新商品の開発などに大きな価値をもたらします。しかし、消費者からすれば、自身の購買行動はもちろん、趣味嗜好や政治信条なども含めたプライバシーが筒抜けになってしまうリスクがあり、データを取得した以上は知らなかったで済まされるものではありません。

消費者にとってのリスクの大きさは、そのままデータを扱う企業にとってのリスクの大きさに直結します。万一、これらのデータが流出・漏えいした場合、どれだけ消費者の不安や怒りを招き、企業の社会的信頼性が失墜するかは、近年の幾つかの例を見ても明らかでしょう。

データセキュリティーリスクへの対策はグローバル規模の課題

こうしたデータセキュリティーに関するリスクをいかに低減するかが、近年、グローバル規模での重要な課題となっています。先に述べた当局の規制については、EUでは2018年5月からGDPR(General Data Protection Regulation:一般データ保護規則)が施行され、米国でも2020年1月からCCPA(California Consumer Privacy Act:カリフォルニア州消費者個人情報保護法)が施行されています。これらはいずれも、個人情報を含めたデータを取り扱う企業に対して、データ保護のための適切な対策を取ることを求めるものです。

TCSが北米および欧州における11業界1,010社の最高情報責任者(CIO :Chief Information Officer)を含むIT担当役員を対象に実施した2020年CIO調査(TCS 2020 CIO Study)によると、「インターネット上での自社の製品・サービスに対する顧客の発言などのデータ」については7割以上、「顧客が自社の製品・サービスをいかに知ったかに関するデータ」については6割以上が「非常に重要/かなり重要」と捉えていることがわかりました。にもかかわらず、同調査によれば、データセキュリティーリスクについて具体的な対策を講じている企業はわずか3分の1程度でしかありません。リスクの大きさに対し、明らかに対策が不十分な現状が見て取れます。

日本企業がデータセキュリティーリスク対策を急ぐべき理由

データセキュリティーリスクの高まりは、日本企業にとっても決して“対岸の火事”ではありません。GDPRはEUの規制ですが、EU加盟国に籍を置く企業だけでなく、EU域内でビジネスを展開する企業全てが対象となり、ネット販売などを通じてEU圏内のユーザーのデータを取得している場合も対象となります。つまり、グローバルビジネスを展開する日本企業に対しても、EUや米国の基準に即したデータ管理が求められるのです。

加えて、在宅勤務を行う企業が増え、リモートワークが拡大する中、日本企業のセキュリティーリスクがさらに高まっていることも理解すべきです。日本企業には、知的財産権の対象となり得るような価値あるデータが豊富に蓄積されていて、世界中のハッカーからターゲットとされてきましたが、近年のハッカーの狙いは経済的利益だけではありません。敵対国や敵対組織からのサイバー攻撃やサイバーテロ、あるいは技術力を誇示したいだけの愉快犯なども含め、多くのハッカーが日本企業のITレピュテーション(信用・評価)を下げようと狙っています。

実際、ここ数年の間に、日本を代表する企業がサイバー攻撃を受けたとのニュースが幾度となく報じられています。例えば、2018年にはインターネットに接続するためのルーターの設定が外部から勝手に書き換えられ、不正サイトに誘導されるというサイバー攻撃が複数社で相次ぎました。さらに今年に入ってからも大手メーカーの社内サーバーが長期にわたり不正アクセスを受けていたことが報じられました。いずれも日本の産業社会にとって深刻なインシデントでしたが、それでも“氷山の一角”にすぎないかもしれません。サイバー攻撃の被害に気付くまでの平均リードタイムは約8カ月とされていて、すでにサイバー攻撃を受けながら、まだ気付いていない企業があっても不思議ではないからです。

これらの例からも、世界が日本に注目する中、データセキュリティーリスクがこれまでになく高まっているといえるでしょう。業界や業態、扱っているデータの種類を問わず、あらゆる日本企業がこのリスクを意識し、対策に取り組むことが急務といえます。

データセキュリティー対策の基本的な考え方

日本企業の間でも、ここ数年の間に、グローバル企業を中心にデータセキュリティーリスクに対する意識が高まってきていると感じています。とはいえ、日本企業で専任の最高情報セキュリティー責任者(CISO:Chief Information Security Officer)を置いているのは15~20%程度にすぎません。欧米企業と比較すれば、体制整備という面ではまだまだだと言わざるを得ません。データセキュリティーリスクが高まる中、日本企業がまず取り組むべきは、CISOの設置など体制面の強化とともに、データセキュリティー対策をIT部門だけの課題としてではなく、会社全体の重要課題として認識することでしょう。

デジタルトランスフォーメーションの進展に伴い、あらゆる企業活動をITシステムが支えていますが、その全てがハッカーからの攻撃対象となり得ます。特に日本企業のシステムは、カスタマイズされたレガシーシステムが多く、脆弱性が検証されないままのシステムが利用され、リスク自体に気付いていないことも少なくありません。

また、システム上のセキュリティー対策が万全だったとしても、システムを扱う従業員のリスク意識が低ければ意味がありません。セキュリティーインシデントの90%はメールを介しているとのデータが示すように、データセキュリティー最大の弱点は“人の意識”です。まずは全ての従業員がリスク意識を高め、「信頼できないソースからのメールの添付ファイルを開けない、リンクをクリックしない」「OSやアプリケーションは公式ライセンスを使用する」「適切なセキュリティー対策プログラムの最新バージョンを実行する」といった、サイバー衛生の基本を身に付けることが何より重要です。
 

図:7層の防御壁

データセキュリティー対策を進める三つのステップ

従業員個々の対策を徹底する一方で、全社的な対策を進める必要もあります。ただし、企業内にある全てのシステムに対し、均等にハイレベルな対策を講じるのは、コスト面でも労力面でも非効率です。以下のような三つのステップでデータセキュリティーリスクを評価・特定し、重点的かつ継続的な対策を講じることがポイントとなります。

■ステップ1:カテゴライズ&優先順位の検討

最初のステップは、企業が社内のシステム内に蓄積する膨大かつ多種多様なデータの中から、優先的に守らねばならないものを特定することです。顧客情報、製品情報、技術情報、財務情報、従業員情報など、データをカテゴライズして、それぞれの価値とリスクを評価。ハッカーなどにとって魅力的なデータはどれか、流出・漏えいした際の影響が大きいデータはどれかなどを検討し、保護すべき重要な資産を特定します。

■ステップ2:戦略策定

優先的に守るべきデータが特定できれば、そのデータがどのような手法や経路で攻撃されるかを把握し、対策を検討します。守るべき情報がどのシステムに蓄積されているか、そのシステムは誰に公開され、誰がアクセスできるのか、ハッカーの想定攻撃経路を明確にしていくことで、具体的な対策を練ることが可能になります。

この際、効果的な対策として推奨できるのが、データに至る経路に層状の防御壁を設けることです。第1層はネットワーク、第2層はインフラ、第3層はWebサーバー、第4層はアプリケーションと、何層にもわたる多層防御策を講じれば、ハッカーは狙うデータに到達するまでに疲弊し、ほかのターゲットへと標的を変える可能性が高まります。

■ステップ3:評価を続ける

優先的に守るべきデータを特定し、そこに至る層状の防御陣を構築すれば、当面のリスクは低減できますが、それは一時的なものにすぎません。企業のビジネスモデルやスケールは常に変動していて、それに伴いリスクの内容や程度も変化します。また、サイバー攻撃の技術も日々、多様化・高度化を続けています。データセキュリティーリスクを許容範囲内に収めるためには、環境や自社の変化を把握しながら、常にその時点でのリスクや対策を評価し続けるという姿勢が不可欠です。

データセキュリティーリスク対策の次なるステップに向けたサポート

ここまで、データセキュリティーに関するリスクを述べ、皆さんを不安にさせてしまったかもしれませんが、データの重要性・可能性を認識するとともに、リスクを洗い出し、適切な対応をすれば過度に不安になる必要はありません。データセキュリティーリスクへの取り組みは、いわば「保険商品」のようなものです。リスクをゼロにすることはできなくとも、万一の際の被害を最小限に抑えることができます。まずは自身が抱えるリスクの内容や大きさを正しく認識し、耐え得るリスクの範囲や適切な投資額を見極めながら、どのような対策を取るかを検討すべきでしょう。

保険との類似点をもう一つ挙げるなら、実際に被害に遭わない限りは、対策の良しあしを評価することが難しい点です。とはいえ、事前に緻密なシミュレーションを行い、実際にサイバー攻撃を受けた際に各種の対策がどう機能するかを確認し、評価することが大切です。

データセキュリティーリスクの可視化も、セキュリティー対策を評価するためのシミュレーションも、実行するには専門的な知識とノウハウが必要になります。自社で全てを抱え込むよりも、外部の専門家を活用すべきでしょう。

日本TCSは、データセキュリティーを含めたサイバーセキュリティー全般に関するグローバルの豊富な知識と経験を生かし、こうしたプロセスのトータルなサポートをご提供しています。すでに必要なデータセキュリティー対策が完了しているのであれば、日本TCSによるサイバー攻撃の評価を受けることで、弱点の有無や改善点などが検証できます。また、「どんなリスクがあるかわからない」「どこから着手すべきか?」と感じていたり、対策を検討中であれば、前述した三つのステップに基づきスピーディーな対策立案をご支援します。

これを機に、データセキュリティーリスクの深刻さや、その対策の重要性を、改めて意識していただき、価値あるデータを有効に活用していただきたいと思います。

サティシュ ティアガラジャン

日本タタ・コンサルタンシー・サービシズ株式会社
副社長・チーフデリバリーオフィサー

1989年、インド国立工科大学 ワランガル校で化学工学の技術学士号を取得後、複数の業界(ITサービス、経営コンサルティング、エンジニアリングサービス)で実績を重ねつつ、1997年にインドICFAI ビジネススクール ハイデラバード校でCFA(米国証券アナリスト)資格を取得。ITサービスの多種多様なグローバルプロジェクトをリードしてきたほか、アプリケーションやITインフラの大規模な変革プログラム、サービス開発においても成果を挙げてきた。2013年からはタタコンサルタンシーサービシズのセキュリティーのグローバルヘッドとしてリーダーシップを発揮し、5年連続でCAGR(年平均成長率)45%を超えるビジネス拡大を実現した。2019年11月より現職。

 

※掲載内容は2020年5月時点のものです。

 

関連ページ


真野 公人

日本タタ・コンサルタンシー・サービシズ株式会社
コンサルティング&サービスインテグレーション統括本部長

SCM やロジスティクスを主たる領域として、ビジネスプロセスの変革やIT 整備計画の立案などのコンサルティングに従事。日本タタ・コンサルタンシー・サービシズでは、コンサルティングサービスの部門長として、タタコンサルタンシーサービシズがグローバルで展開するコンサルティングメソドロジーやリファレンスモデルの導入を推進するとともに、お客様企業のビジネス 4.0 への取り組みやデジタルトランスフォーメーションの支援を主導している

 


※掲載内容は2019年5月時点のものです。

▶ 当社 季刊広報誌「CATALYST」Vol.18より転載。PDFはこちら 

 

関連ページ


 

「Business 4.0」四つの特徴


  1. カスタマーセグメンテーション
    インターネットユーザーは 40億人を超え、世界人口の過半数に達しています。特にデジタル化された製品やサービスに慣れ親しんだ「デジタルネイティブ」世代が、現代の消費行動の主役を担っています。また、ソーシャルメディアの普及によって、一人一人の消費者が世界に向けて「面白い、お薦めできる」、「つまらない、最低だ」といった評価を自由に発信できるようになりました。このような顧客を捉えて引き留めておくために、企業は一人一人が何に面白さを感じるのかを察知し、顧客の要求や特性に応じた価値を提供し続けていくことが求められます。従来の捉え方で顧客や商品を管理しようとしても、もはや顧客の期待に応えることはできないのです。

    顧客の期待に応える価値を提供するためには、顧客とのあらゆる接点から大量のデータ(情報)を収集し、そのデータを適切に管理保存し、有効に分析し、アクションを立案する仕組みが必要です。単に実店舗と EC サイトからの購入実績を一元管理するだけでなく、その消費行動の特性に応じたサービスや提案をつくるに足る多様な情報収集力と高度な分析力を発揮できてこそ、カスタマーセグメンテーションが実現できるのです。

  2. エクスポネンシャルな価値の創造
    デジタライゼーションによって、消費行動に地理的な制約はなくなりました。消費者は欲しいと思えば、いつでも、どこからでも自由に注文することが可能であり、企業にとっては全てのインターネットユーザーが潜在的な顧客になります。画期的な製品や卓越したサービスを提供する企業は、たとえ小さなスタートアップ企業であっても、世界中から注文が舞い込む可能性を有しています。そして、顧客一人一人の要望や期待に応える製品やサービスは、その顧客にとって「最高」の価値を提供することを意味し、顧客の嗜好や要求水準を反映したサービスやレコメンデーションを提供する企業は、その顧客をつかみ続けることになります。

    Business 4.0 のパラダイムでは、こうした成功のインパクトが桁違いに大きく、卓越した価値を提供する企業に顧客の満足と対価が集中し、勝者は市場を席巻します。その結果、その企業の価値は飛躍的に高まるのです。

  3. 水平方向での協業(エコシステムの活用)
    多くの日本企業では、過去の成功体験から「研究開発は自社内で秘密裏に行ってこそ優位性を確保できる」という発想が根強いのではないでしょうか。しかし、急速に進化し続けるデジタル技術の活用を自社のリソースだけに依存するのは賢明ではありません。目指すべきサービスや事業モデルを迅速に立ち上げるためには、自社にない知見や能力を社外に求め、互いに補完し合うことが不可欠です。自社の製品やサービスが抱える課題の解決や新たな事業モデルを実現するためには、企業や業界の枠を超えたオープンイノベーションに挑み続ける姿勢が重要です。異業種の企業や大学などの研究機関と積極的に連携し、情報交換や共同研究に取り組むことが期待されます。

    IT ベンダーとの関係の在り方も、受託請負・労働力提供といった従来の枠組みから、ともに新しいサービスや価値をつくり上げる ( 共創する ) パートナーへと変えるべきです。なぜなら、目標と成果を共有することによってこそ、IT ベンダーの持つ技術力やリソースを最大限に活用できるからです。発注者と受託者という関係性を引きずったままでは、目指すべきゴールに迅速に到達することができません。

  4. リスクへの挑戦
    業界自体が未知の市場参入者に急襲されても不思議ではない競争環境では、機を逃さずに迅速にサービスを提供することが極めて重要です。あるいは、顧客ニーズの変化を先取りして、自社のオペレーションを大胆に変更することが必要となる場合もあるでしょう。Business 4.0 のパラダイムでは、このように何かを起こす、あるいは何かを変えるというアクションが俊敏に実行されなければなりません。タイミングを逃がせば、顧客に価値を提供する「機会」そのものを失うからです。見当違いや失敗は、その後に挽回することも可能ですが、サービスを提供する舞台に立つ機会を逃せば、挽回の機会は訪れません。顧客の期待は絶えず変化し続けるものです。見当違いは起こり得ることと見なした上で、試行錯誤を迅速に繰り返しながらビジネスを前進させていく姿勢こそが重要なのです。

    新しい価値を創出するということは、不測の領域へ進出することでもあり、それは未知への挑戦です。リスクは忌避しようとしてもし切れるものではありません。リスクに向き合い、それを次々と乗り越えていく開拓者精神が求められる、それが Business 4.0 のパラダイムなのです。

 

真野 公人

日本タタ・コンサルタンシー・サービシズ株式会社
コンサルティング&サービスインテグレーション統括本部長

SCM やロジスティクスを主たる領域として、ビジネスプロセスの変革やIT 整備計画の立案などのコンサルティングに従事。日本タタ・コンサルタンシー・サービシズでは、コンサルティングサービスの部門長として、タタコンサルタンシーサービシズがグローバルで展開するコンサルティングメソドロジーやリファレンスモデルの導入を推進するとともに、お客様企業のビジネス 4.0 への取り組みやデジタルトランスフォーメーションの支援を主導している

 


※掲載内容は2019年5月時点のものです。

▶ 当社 季刊広報誌「CATALYST」Vol.18より転載。PDFはこちら 

 

関連ページ


 

「Business 4.0」四つの特徴


  1. カスタマーセグメンテーション
    インターネットユーザーは 40億人を超え、世界人口の過半数に達しています。特にデジタル化された製品やサービスに慣れ親しんだ「デジタルネイティブ」世代が、現代の消費行動の主役を担っています。また、ソーシャルメディアの普及によって、一人一人の消費者が世界に向けて「面白い、お薦めできる」、「つまらない、最低だ」といった評価を自由に発信できるようになりました。このような顧客を捉えて引き留めておくために、企業は一人一人が何に面白さを感じるのかを察知し、顧客の要求や特性に応じた価値を提供し続けていくことが求められます。従来の捉え方で顧客や商品を管理しようとしても、もはや顧客の期待に応えることはできないのです。

    顧客の期待に応える価値を提供するためには、顧客とのあらゆる接点から大量のデータ(情報)を収集し、そのデータを適切に管理保存し、有効に分析し、アクションを立案する仕組みが必要です。単に実店舗と EC サイトからの購入実績を一元管理するだけでなく、その消費行動の特性に応じたサービスや提案をつくるに足る多様な情報収集力と高度な分析力を発揮できてこそ、カスタマーセグメンテーションが実現できるのです。

  2. エクスポネンシャルな価値の創造
    デジタライゼーションによって、消費行動に地理的な制約はなくなりました。消費者は欲しいと思えば、いつでも、どこからでも自由に注文することが可能であり、企業にとっては全てのインターネットユーザーが潜在的な顧客になります。画期的な製品や卓越したサービスを提供する企業は、たとえ小さなスタートアップ企業であっても、世界中から注文が舞い込む可能性を有しています。そして、顧客一人一人の要望や期待に応える製品やサービスは、その顧客にとって「最高」の価値を提供することを意味し、顧客の嗜好や要求水準を反映したサービスやレコメンデーションを提供する企業は、その顧客をつかみ続けることになります。

    Business 4.0 のパラダイムでは、こうした成功のインパクトが桁違いに大きく、卓越した価値を提供する企業に顧客の満足と対価が集中し、勝者は市場を席巻します。その結果、その企業の価値は飛躍的に高まるのです。

  3. 水平方向での協業(エコシステムの活用)
    多くの日本企業では、過去の成功体験から「研究開発は自社内で秘密裏に行ってこそ優位性を確保できる」という発想が根強いのではないでしょうか。しかし、急速に進化し続けるデジタル技術の活用を自社のリソースだけに依存するのは賢明ではありません。目指すべきサービスや事業モデルを迅速に立ち上げるためには、自社にない知見や能力を社外に求め、互いに補完し合うことが不可欠です。自社の製品やサービスが抱える課題の解決や新たな事業モデルを実現するためには、企業や業界の枠を超えたオープンイノベーションに挑み続ける姿勢が重要です。異業種の企業や大学などの研究機関と積極的に連携し、情報交換や共同研究に取り組むことが期待されます。

    IT ベンダーとの関係の在り方も、受託請負・労働力提供といった従来の枠組みから、ともに新しいサービスや価値をつくり上げる ( 共創する ) パートナーへと変えるべきです。なぜなら、目標と成果を共有することによってこそ、IT ベンダーの持つ技術力やリソースを最大限に活用できるからです。発注者と受託者という関係性を引きずったままでは、目指すべきゴールに迅速に到達することができません。

  4. リスクへの挑戦
    業界自体が未知の市場参入者に急襲されても不思議ではない競争環境では、機を逃さずに迅速にサービスを提供することが極めて重要です。あるいは、顧客ニーズの変化を先取りして、自社のオペレーションを大胆に変更することが必要となる場合もあるでしょう。Business 4.0 のパラダイムでは、このように何かを起こす、あるいは何かを変えるというアクションが俊敏に実行されなければなりません。タイミングを逃がせば、顧客に価値を提供する「機会」そのものを失うからです。見当違いや失敗は、その後に挽回することも可能ですが、サービスを提供する舞台に立つ機会を逃せば、挽回の機会は訪れません。顧客の期待は絶えず変化し続けるものです。見当違いは起こり得ることと見なした上で、試行錯誤を迅速に繰り返しながらビジネスを前進させていく姿勢こそが重要なのです。

    新しい価値を創出するということは、不測の領域へ進出することでもあり、それは未知への挑戦です。リスクは忌避しようとしてもし切れるものではありません。リスクに向き合い、それを次々と乗り越えていく開拓者精神が求められる、それが Business 4.0 のパラダイムなのです。

 

真野 公人

日本タタ・コンサルタンシー・サービシズ株式会社
コンサルティング&サービスインテグレーション統括本部長

SCM やロジスティクスを主たる領域として、ビジネスプロセスの変革やIT 整備計画の立案などのコンサルティングに従事。日本タタ・コンサルタンシー・サービシズでは、コンサルティングサービスの部門長として、タタコンサルタンシーサービシズがグローバルで展開するコンサルティングメソドロジーやリファレンスモデルの導入を推進するとともに、お客様企業のビジネス 4.0 への取り組みやデジタルトランスフォーメーションの支援を主導している

 


※掲載内容は2019年5月時点のものです。

▶ 当社 季刊広報誌「CATALYST」Vol.18より転載。PDFはこちら 

 

関連ページ